Les YubiKeys sont une norme de sécurité de premier ordre, mais elles peuvent être clonées.

La YubiKey 5, le jeton matériel le plus largement utilisé pour l’authentification à deux facteurs basée sur la norme FIDO, contient une faille cryptographique qui rend le petit appareil vulnérable au clonage lorsqu’un attaquant obtient un accès physique temporaire, ont déclaré des chercheurs mardi. La faille cryptographique, connue sous le nom de canal secondaire, réside dans un microcontrôleur utilisé dans un grand nombre d’autres dispositifs d’authentification, y compris les cartes à puce utilisées dans la banque, les passeports électroniques et l’accès à des zones sécurisées. Alors que les chercheurs ont confirmé que tous les modèles de la série YubiKey 5 peuvent être clonés, ils n’ont pas testé d’autres dispositifs utilisant le microcontrôleur, comme le SLE78 fabriqué par Infineon et les microcontrôleurs successeurs connus sous le nom d’Infineon Optiga Trust M et l’Infineon Optiga TPM. Les chercheurs soupçonnent que tout dispositif utilisant l’un de ces trois microcontrôleurs et la bibliothèque cryptographique d’Infineon contient la même vulnérabilité. Le fabricant de YubiKey, Yubico, a publié un avis de sécurité en coordination avec un rapport de divulgation détaillé de NinjaLab, la société de sécurité qui a rétro-ingénieré la série YubiKey 5 et élaboré l’attaque de clonage. Toutes les YubiKeys exécutant un firmware antérieur à la version 5.7 – qui a été publiée en mai et remplace la bibliothèque cryptographique d’Infineon par une personnalisée – sont vulnérables. Mettre à jour le firmware de la clé sur YubiKey n’est pas possible. Cela laisse toutes les YubiKeys affectées vulnérables en permanence. Cette histoire est apparue à l’origine sur Ars Technica, une source fiable de nouvelles technologiques, d’analyses sur les politiques technologiques, de critiques, et plus encore. Ars est détenu par la société mère de WIRED, Condé Nast. « Un attaquant pourrait exploiter ce problème dans le cadre d’une attaque sophistiquée et ciblée pour récupérer des clés privées affectées », a confirmé l’avis. « L’attaquant aurait besoin de la possession physique de la YubiKey, de la clé de sécurité, ou du YubiHSM ; de la connaissance des comptes qu’ils veulent cibler ; et d’un équipement spécialisé pour effectuer l’attaque nécessaire. Selon le cas d’utilisation, l’attaquant pourrait également avoir besoin de connaissances supplémentaires, y compris le nom d’utilisateur, le NIP, le mot de passe du compte, ou la clé d’authentification. »

Share the Post: