Google a lancé l’année dernière la Titan Security Key, une clé de sécurité en versions USB et Bluetooth pour une authentification à deux facteurs plus sûre. Cependant, la société a annoncé mercredi (15) un rappel de produit en raison d’une faille de sécurité dans le Bluetooth ; les clients pourront l’échanger gratuitement contre un nouveau.
Il existe deux modèles de Titan Security Key : l’un se connecte par USB, tandis que l’autre est équipé de Bluetooth pour les appareils mobiles uniquement. Lorsque vous vous connectez, vous devez appuyer sur un bouton de la clé de sécurité Bluetooth dans le cadre du balayage en deux étapes.
Cependant, Google a découvert que le protocole de couplage Bluetooth de la Titan Security Key est mal configuré. Cela permet à un attaquant proche de l’utilisateur de communiquer avec la clé de sécurité, ou le dispositif avec lequel elle est couplée.
Cette attaque serait très difficile à réaliser, mais elle serait possible. Il existe deux scénarios : dans le premier, l’agresseur a déjà son nom d’utilisateur et son mot de passe, se trouve à une distance pouvant aller jusqu’à 9 mètres (ce qui correspond à la portée du Bluetooth), et se connecte à la clé de sécurité au moment exact où vous appuyez sur le bouton. Ainsi, il peut se connecter.
Dans le second scénario, l’agresseur peut utiliser un appareil Bluetooth qui prétend être la clé de sécurité Titan. Lorsque vous appuyez sur le bouton, votre téléphone se connecte au mauvais appareil et est susceptible d’être télécommandé.
Bluetooth “n’assure pas la sécurité NFC et USB”.
La clé de sécurité vulnérable Titan ne fonctionne pas sur iOS 12.3, la dernière version d’Apple. Sur iOS 12.2 et les versions antérieures, Android et d’autres systèmes d’exploitation, Google recommande d’utiliser la clé dans un lieu privé et de désactiver le couplage juste après la connexion.
Pour recevoir une nouvelle clé, sans que le Bluetooth ne tombe en panne, il suffit de visiter google.com/replacemykey. Le modèle USB de la clé de sécurité Titan n’est pas vulnérable.
Il est à noter que l’année dernière, le concurrent Yubico a déclaré qu’il ne fabriquait pas de clés Bluetooth parce que cette technologie “n’offre pas les niveaux de sécurité de la NFC et de l’USB ; elle nécessite également des piles et un couplage, ce qui offre une mauvaise expérience à l’utilisateur.
