Google rappelle des clés de sécurité Titan à cause d’une potentielle faille

Science > Google
Par Emmanuel Ghesquier,  publié le 18 mai 2019 à 14h30.

Google a décidé de rappeler ses clés de sécurité Titan, plus particulièrement l’édition Bluetooth. La firme de Mountain View a en effet découvert une potentielle faille susceptible de favoriser les attaques de pirate.

Bien que les clés de sécurité Titan de Google soient récentes (2018), elles connaissent déjà des problèmes de sécurité. Conçues pour remplacer les mots de passe via une double authentification, certaines clés sont vulnérables.

Identification d’une faille chez les clés de sécurité Titan T1 et T2 Bluetooth

Plus spécifiquement, il s’agit des clés de sécurité Titan 1 et T2 Bluetooth. Si Google promettait avec ces clés de vous protéger contre « les piratages de compte liés aux attaques par hameçonnage », la faille de sécurité identifiée sur ces dernières met du plomb dans l’aile à cet argument marketing.

Il y a deux jours, la firme de Mountain View a annoncé qu’elle avait identifié une vulnérabilité pour l’édition Bluetooth de ses clés, comme le révèle le site CNet. Ainsi, c’est en visant un bug dans les protocoles d’appairage Bluetooth qu’un pirate est capable de vous subtiliser le nom de votre clé de sécurité, s’il se trouve dans un périmètre de 9 mètres.

Un programme de remplacement pour Google

Une fois cette manip effectuée, le hacker peut tout à fait renommer un appareil frauduleux avec le nom de la clé Titan. Et c’est comme cela que l’usager est piégé, puisqu’il risque de se connecter sur le périphérique plutôt que sur la vraie clé.

A noter que le pirate doit agir « au moment où vous êtes invité à appuyer sur le bouton de votre clé ». S’il y parvient, « l’attaquant peut se connecter à votre compte à l’aide de son propre appareil ». Et ce n’est pas tout puisque le hacker peut aussi prendre le contrôle de l’appareil de l’usager en y mettant du code malveillant.

Google a recommandé aux usagers d’utiliser la clé Titan dans un lieu isolé. Rappelons que les clés Titan USB sans connexion Bluetooth ne sont elles pas concernées par le problème. Quant à la firme de Mountain View, elle a décidé de rappeler les clés Titan Bluetooth et de les remplacer.

En savoir plus