Google prévient que les clés de sécurité Bluetooth Titan peuvent être détournées par des pirates informatiques à proximité

Google avertit que des attaquants proches peuvent détourner la version Bluetooth Low Energy de la clé de sécurité Titan vendue pour l'authentification à deux facteurs, et conseille aux utilisateurs de se procurer gratuitement un appareil de remplacement corrigeant cette vulnérabilité.

Une mauvaise configuration dans les protocoles de couplage Bluetooth de la clé permet aux attaquants de moins de 30 pieds de communiquer avec la clé ou avec le périphérique auquel elle est associée, a expliqué le responsable des produits Google Cloud, Christiaan Brand, dans un article publié mercredi.

Les dispositifs compatibles Bluetooth constituent une variété de clés de sécurité peu coûteuses qui, comme l'a signalé Ars en 2016, représentent le moyen le plus efficace d'empêcher les reprises de compte pour les sites prenant en charge la protection. En plus du mot de passe du compte saisi par l'utilisateur, la clé fournit des «assertions cryptographiques» secondaires qu'il est presque impossible pour les attaquants de deviner ou de faire du phishing. Les clés de sécurité utilisant la communication USB ou en champ proche ne sont pas affectées.

L’attaque décrite par Brand consiste à détourner le processus d’appariement lorsqu’un attaquant à moins de 30 pieds effectue une série d’événements en étroite coordination:

  • Lorsque vous essayez de vous connecter à un compte sur votre appareil, vous êtes normalement invité à appuyer sur le bouton de votre clé de sécurité BLE pour l'activer. Un attaquant se trouvant à proximité physique à ce moment-là peut potentiellement connecter son propre appareil à la clé de sécurité concernée avant que votre propre appareil ne se connecte. Dans ces circonstances, l'attaquant peut se connecter à votre compte à l'aide de son propre appareil s'il a déjà, d'une manière ou d'une autre, déjà obtenu votre nom d'utilisateur et votre mot de passe et peut chronométrer ces événements avec précision.
  • Avant de pouvoir utiliser votre clé de sécurité, vous devez l'associer à votre appareil. Une fois couplé, un attaquant proche de vous peut utiliser son appareil pour se faire passer pour la clé de sécurité affectée et se connecter à votre appareil au moment où vous êtes invité à appuyer sur le bouton de votre clé. Après cela, ils pourraient essayer de changer leur appareil pour qu'il apparaisse comme un clavier ou une souris Bluetooth et éventuellement entreprendre des actions sur votre appareil.

Pour que le transfert du compte aboutisse, l'attaquant devrait également connaître le nom d'utilisateur et le mot de passe de la cible.

Pour savoir si une clé Titan est vulnérable, vérifiez l'arrière de l'appareil. S'il a un «T1» ou un «T2», il est sujet à l'attaque et peut être remplacé gratuitement. La marque a déclaré que les clés de sécurité continuaient de représenter l'un des moyens les plus significatifs de protéger les comptes et a conseillé aux utilisateurs de continuer à utiliser les clés en attendant d'en obtenir un nouveau. Les clés de sécurité Titan se vendent 50 dollars dans le Google Store.

Pendant que les gens attendaient un remplacement, Brand a recommandé aux utilisateurs d’utiliser les clés dans un lieu privé à moins de 10 mètres d’un attaquant potentiel. Après la connexion, les utilisateurs doivent immédiatement dissocier la clé de sécurité. Une mise à jour Android programmée pour le mois prochain désolidarise automatiquement les clés de sécurité Bluetooth afin que les utilisateurs ne soient pas obligés de le faire manuellement.

La marque a déclaré qu'iOS 12.3, qu'Apple avait commencé à déployer lundi, ne fonctionnerait pas avec les clés de sécurité vulnérables. Cela a pour résultat malheureux de bloquer les utilisateurs de leurs comptes Google s'ils se déconnectent. La marque a recommandé aux personnes de ne pas se déconnecter de leur compte. Une bonne mesure de sécurité serait d'utiliser une application d'authentification de sauvegarde, au moins jusqu'à l'arrivée d'une nouvelle clé, ou de passer outre les conseils de Brand et d'utiliser simplement une application d'authentification comme principal moyen d'authentification à deux facteurs.

Cet épisode est regrettable dans la mesure où, en tant que notes générales, les clés de sécurité physiques restent la protection la plus puissante actuellement disponible contre le phishing et d'autres types de prise de contrôle de compte. La divulgation de mercredi a incité les détracteurs de Bluetooth à s'entasser dans les médias sociaux pour des fonctions sensibles à la sécurité.

Par exemple, quel type de protocole idiot permet aux utilisateurs de négocier une «taille de clé maximale» pouvant aller jusqu'à un octet. (Un défaut qui, heureusement, devrait être plus élevé dans les versions récentes.) Pic.twitter.com/7yFJqaMJLI

- Matthew Green (@matthew_d_green) le 15 mai 2019

La menace de détournement de la clé et l'incompatibilité actuelle avec la dernière version d'iOS vont certainement générer une résistance supplémentaire de la part des utilisateurs qui souhaitent utiliser les clés basées sur BLE. La menace contribue également à expliquer pourquoi Apple et le fabricant de clés alternatives Yubico refusent depuis longtemps de prendre en charge les clés compatibles BLE.