15 janvier 2025

Krusell France

Ta dose d'actu digital !

Faille critique de sécurité affectant les YubiKey : les détails à connaître

4 mois ago Romain Barry
Older YubiKeys compromised by unpatchable 2FA bug — side-channel attack is critical, but expensive and difficult to execute
Rate this post

Un récent article met en lumière une vulnérabilité critique de sécurité affectant de nombreux dispositifs d’authentification à deux facteurs de YubiKey, compromettant leur sécurité sans patch à l’horizon. Selon l’avis de sécurité de Yubico, les séries YubiKey 5 et Security Key antérieures au firmware 5.7 restent vulnérables à une attaque de clonage de haut niveau. Cependant, l’utilisateur moyen ne devrait pas trop s’inquiéter de cette vulnérabilité.

Sommaire masquer
1 Vulnérabilité de sécurité des YubiKeys
2 Les risques associés aux dispositifs de sécurité à deux facteurs
3 Actualités similaires :

Vulnérabilité de sécurité des YubiKeys

Les séries YubiKey 5, YubiHSM 2 et d’autres produits d’authentification à deux facteurs de Yubico et d’autres fabricants utilisant la puce TPM de la série Infineon SLB96xx sont vulnérables à cette nouvelle attaque. Des chercheurs en sécurité du laboratoire NinjaLab ont testé les produits YubiKey 5, les outils d’authentification FIDO les plus courants, et ont découvert qu’un problème dans la bibliothèque d’Infineon permet aux acteurs malveillants de cloner les clés. Toutes les puces Infineon, datant de 14 ans, exécutant n’importe quelle version de sa bibliothèque cryptographique, sont vulnérables à cette même attaque.

Les risques associés aux dispositifs de sécurité à deux facteurs

Les dispositifs physiques d’authentification à deux facteurs comme les YubiKeys sont des outils extrêmement pratiques pour les utilisateurs qui souhaitent gagner du temps par rapport à l’utilisation d’une application d’authentification lors de la connexion à des ordinateurs, sites Web ou applications sécurisés. Bien que cette attaque de clonage représente une faiblesse sérieuse pour tout outil d’authentification à deux facteurs, la complexité des étapes nécessaires pour la réaliser la rend pratiquement inexistante pour la plupart des utilisateurs.

Cependant, ceux qui détiennent des informations hautement sensibles, tels que les employés gouvernementaux, les journalistes ou les travailleurs de la santé, pourraient envisager de remplacer le matériel affecté par un matériel plus récent et dépourvu de vulnérabilité. Yubico recommande vivement l’utilisation continue des authentificateurs FIDO, de loin préférables aux méthodes d’authentification plus faibles comme l’OTP ou les SMS.

Yubico a commencé à vendre des produits avec son firmware 5.7.0 et plus récent depuis mai de cette année. Pour des raisons de sécurité, le firmware ne peut pas être mis à jour rétroactivement sur des produits plus anciens. Ainsi, ceux qui souhaitent remplacer des produits affectés devraient se tourner vers les produits Yubico avec un firmware 5.7.0 ou plus récent, ou vers d’autres fabricants de clés d’authentification à deux facteurs.

Source : www.tomshardware.com

  • romain barry portrait redacteur

    Expert en informatique, Romain a une formation en ingénierie informatique et une passion pour les gadgets high tech. Il partage ses connaissances sur les derniers smartphones, les composants matériels et les astuces pour optimiser les performances des PC.

    Voir toutes les publications

Actualités similaires :

  1. Comment se protéger de la faille critique de sécurité de FortiSIEM ?
  2. Alerte sécurité : Faille critique dans le pilote Wi-Fi de Windows !
  3. Découvrez la faille de sécurité critique PHP-CGI sur Windows et comment vous protéger
  4. Faille de sécurité critique corrigée dans OpenSSH : comment se protéger ?
  5. Mise à jour critique pour les routeurs ASUS : faille de sécurité corrigée
  6. Faille de sécurité critique dans LiteSpeed Cache : millions de sites WordPress exposés
Tags:

Plus d'actu

Global HONOR Magic7 Pro model is here with a bevy of AI features

Découvrez le nouveau HONOR Magic7 Pro avec AI révolutionnaire

5 minutes ago Julien Castex
Parallels Desktop 20.2 update released, offers improved X86 and virtual machine support

Nouvelle mise à jour Parallels Desktop 20.2 : l’émulation x86 64 bits pour les puces Apple Silicon!

22 minutes ago Lea Corbini
Rare Ryzen 7 9800X3D emerges in bundles starting at $639 — one per buyer to prevent scalpers

Découvrez les bundles exclusifs Ryzen 7 9800X3D de Newegg – Économisez dès maintenant

42 minutes ago Romain Barry

Vous avez peut-être manqué

Global HONOR Magic7 Pro model is here with a bevy of AI features

Découvrez le nouveau HONOR Magic7 Pro avec AI révolutionnaire

5 minutes ago Julien Castex
Parallels Desktop 20.2 update released, offers improved X86 and virtual machine support

Nouvelle mise à jour Parallels Desktop 20.2 : l’émulation x86 64 bits pour les puces Apple Silicon!

22 minutes ago Lea Corbini
Best PS5 Games To Play With A Steering Wheel, Ranked

Les meilleurs jeux de course sur PS5 à jouer avec un volant pour une immersion totale

36 minutes ago Alex Lopez
Rare Ryzen 7 9800X3D emerges in bundles starting at $639 — one per buyer to prevent scalpers

Découvrez les bundles exclusifs Ryzen 7 9800X3D de Newegg – Économisez dès maintenant

42 minutes ago Romain Barry