16 octobre 2024

Krusell France

Ta dose d'actu digital !

Faille YubiKey : Risques, modèles affectés, comment se protéger ?

1 mois ago Julien Castex
Attaque Eucleak - Cloner les clés YubiKey - 2024
Rate this post

Les clés YubiKey sont affectées par une faille de sécurité qui rend vulnérable l’appareil au clonage, à condition d’avoir un accès physique. Quels sont les risques ? Peut-on se protéger ? Voici ce qu’il faut savoir.

Sommaire masquer
1 Les clés de sécurité YubiKey : une faille de sécurité à prendre en compte
2 Qui est concerné par cette faille de sécurité ?
3 Les mesures de sécurité à prendre et les produits affectés
4 Actualités similaires :

Les clés de sécurité YubiKey : une faille de sécurité à prendre en compte

Les clés de sécurité YubiKey de chez Yubico sont très appréciées par les professionnels, notamment dans le cadre de l’authentification à deux facteurs basés sur une clé matérielle. Au même titre que d’autres clés présentes sur le marché, elles prennent en charge les normes d’authentification FIDO.

Néanmoins, la sécurité de cette méthode d’authentification robuste est fragilisée par une nouvelle faille de sécurité présente dans le micrologiciel de certains modèles de clés YubiKey. Cette vulnérabilité exploitant un canal auxiliaire permet à un attaquant de cloner ces dispositifs ! Ceci pourrait permettre la compromission des comptes protégés par la clé de sécurité clonée.

“Il s’agit d’une vulnérabilité par canal auxiliaire dans l’implémentation de l’ECDSA dans la bibliothèque cryptographique Infineon. Dans YubiKey et YubiHSM, ECDSA est utilisé pour générer des signatures cryptographiques basées sur des courbes elliptiques.”, peut-on lire sur le site de Yubico. Cette vulnérabilité est associée à une attaque surnommée “EUCLEAK” par Thomas Roche de NinjaLab, le chercheur en sécurité à l’origine de cette découverte.

Qui est concerné par cette faille de sécurité ?

Il est indispensable de préciser que l’attaque nécessite un accès physique à la clé de sécurité YubiKey, ainsi qu’un équipement spécialisé et d’excellentes connaissances en électronique et en cryptographie. Les attaques nécessitent un équipement d’une valeur d’environ 11 000 dollars.

Autrement dit, l’exploitation de cette vulnérabilité nécessite des moyens non négligeables. Si elle venait à être exploitée, il y a de fortes chances que ce soit uniquement dans des attaques ciblées et financées par des États, notamment dans le cadre de campagne d’espionnage.

Les mesures de sécurité à prendre et les produits affectés

Plusieurs produits de chez Yubico sont vulnérables à l’attaque EUCLEAK, dont la très populaire série de clés YubiKey 5. En fait, tout dépend de la version de firmware utilisé par la clé de sécurité. Voici la liste complète des produits affectés :

YubiKey 5 Series – Versions antérieures à 5.7

YubiKey 5 FIPS Series – Versions antérieures à 5.7

YubiKey 5 CSPN Series – Versions antérieures à 5.7

YubiKey Bio Series – Versions antérieures à 5.7.2

Tous les produits de la série “Security Key” – Versions antérieures à 5.7

YubiHSM 2 – Versions antérieures à 2.4.0

YubiHSM 2 FIPS – Versions antérieures à 2.4.0

Vous l’aurez compris, les versions de firmware les plus récentes ne sont pas vulnérables à cette attaque. Donc, la question que tous les utilisateurs vont se poser est la suivante : comment mettre à jour le firmware d’une YubiKey ? La réponse va vous décevoir, mais c’est pourtant la réalité : il n’est pas possible de mettre à jour le firmware. La clé de sécurité est livrée avec un firmware et une fois qu’il est programmé, il ne peut pas être modifié.

Il faut se rassurer par le fait que cette attaque est très difficile à mettre en œuvre. Si elle venait à être réellement exploitée, ce devrait être dans des attaques ciblées et sophistiquées.

Source : www.it-connect.fr

  • julien castex redacteur tech

    Julien est un journaliste tech polyvalent avec une expérience couvrant divers aspects de la high tech, en passant par les smartphones et l'Intelligence Artificielle. Il écrit sur les dernières tendances technologiques, les startups et les projets innovants ainsi que les impacts de la technologie sur la société.

    Voir toutes les publications

Actualités similaires :

  1. Comment se protéger de la faille critique de sécurité de FortiSIEM ?
  2. Faille MadLicense sur Windows Server : Comment se protéger ?
  3. Tuto : Comment se protéger de la faille 0.0.0.0-Day sur Chrome, Safari et Firefox
  4. Découvrez la faille de sécurité critique PHP-CGI sur Windows et comment vous protéger
  5. Faille de sécurité critique corrigée dans OpenSSH : comment se protéger ?
  6. Faille critique dans Veeam Backup : comment se protéger des attaques potentielles
Tags:

Plus d'actu

obtenir Windows 11 24H2 plus rapidement

Obtenez Windows 11 24H2 rapidement : 2 méthodes simples et efficaces

2 heures ago Julien Castex
RPCFirewall - Firewall RPC Windows

Protégez vos systèmes Windows avec RPCFirewall : Tutoriel complet

4 heures ago Julien Castex
ChatGPT - OpenAI a perturbé plus de 20 opérations malveillantes

OpenAI lutte contre les cybercriminels avec ChatGPT

6 heures ago Julien Castex

Vous avez peut-être manqué

Dragon Age: The Veilguard PS5 Pro Enhancements Detailed

Découvrez les améliorations PS5 Pro de Dragon Age: The Veilguard avant sa sortie le 31 octobre

7 minutes ago Alex Lopez
Here's your first look at the Galaxy Z Fold Special Edition

Samsung Galaxy Z Fold Special Edition : Date de sortie révélée – FNNews

17 minutes ago Julien Castex
ZHIYUN unveils CQ5 Smartphone Stabilizer that integrates AI & voice controls

Le ZHIYUN CQ5 : un stabilisateur de smartphone révolutionnaire à l’intégration d’IA et contrôle vocal.

1 heure ago Julien Castex
vivo Y300 Plus unveiled: Snapdragon 695, 50MP camera, and 5,000 mAh battery

vivo Y300 Plus: Snapdragon 695 SoC, 128GB storage, 120Hz display

2 heures ago Romain Barry