logo Begeek

Découvrez comment des hackers peuvent cloner votre YubiKey grâce à une faille effrayante

Découvrez comment des hackers peuvent cloner votre YubiKey grâce à une faille effrayante
Publié le , mis à jour le

C'est un processus très onéreux et particulièrement difficile. Cette complexité et le coût élevé peuvent-ils être un frein à son développement ?

Tl;dr

  • NinjaLab découvre une vulnérabilité permettant de cloner les YubiKey.
  • La vulnérabilité se trouve dans la bibliothèque cryptographique utilisée par YubiKey.
  • Les attaquants nécessitent un accès physique au token et un équipement coûteux pour l’exploiter.
  • Malgré la vulnérabilité, l’utilisation de YubiKey reste plus sûre que de ne pas en utiliser.

Une vulnérabilité découverte dans les YubiKey

NinjaLab, une société de recherche en sécurité, a révélé une vulnérabilité permettant de cloner les YubiKey, des clés d’authentification FIDO très répandues. En effet, selon un avis de sécurité, une faille a été détectée dans la bibliothèque cryptographique utilisée par la série YubiKey 5.

Le fonctionnement de la vulnérabilité

La faille concerne plus précisément le microcontrôleur qui « génère/stocke des secrets et exécute des opérations cryptographiques » pour des dispositifs de sécurité tels que les cartes bancaires et les tokens matériels FIDO. Les chercheurs ont pu découvrir cette vulnérabilité en étudiant une plateforme ouverte basée sur la bibliothèque cryptographique d’Infineon, utilisée par Yubico, le fabricant des YubiKey. Ils ont confirmé que tous les modèles de YubiKey 5 peuvent être clonés.

Des conditions d’exploitation complexes

Cependant, exploiter cette vulnérabilité n’est pas une tâche simple. En effet, les attaquants doivent avoir un accès physique au token qu’ils souhaitent copier. De plus, ils doivent démonter le token et utiliser un équipement coûteux, notamment un oscilloscope, pour « effectuer des mesures de canaux latéraux électromagnétiques » nécessaires à l’analyse du token. Selon les chercheurs, leur configuration leur a coûté environ 11 000 dollars, et l’utilisation d’oscilloscopes plus avancés pourrait augmenter le coût jusqu’à 33 000 dollars.

Les YubiKey restent sûres malgré la vulnérabilité

En dépit de cette vulnérabilité, il convient de rappeler que les utilisateurs ordinaires ont tout intérêt à continuer d’utiliser les YubiKey ou d’autres produits impactés comme tokens d’authentification matérielle FIDO. Comme le soulignent les chercheurs, « il est toujours plus sûr d’utiliser un YubiKey pour se connecter à des applications plutôt que de ne pas en utiliser ».

Publicité

À lire aussi sur Begeek:

La révolution de la gamification dans le secteur financier et au-delà
Panasonic revient sur le marché américain avec des téléviseurs OLED et Mini-LED
La Nintendo Switch 2 en production ? La date de sortie pourrait vous surprendre !

Dans la même rubrique

Un simple SMS permet à ce cheval de Troie Android de dérober vos mots de passe et de s’emparer de vos comptes bancaires

Un simple SMS permet à ce cheval de Troie Android de dérober vos mots de passe et de s’emparer de vos comptes bancaires

Mars : les traces d’une mer ancienne confirment son passé aquatique

Mars : les traces d’une mer ancienne confirment son passé aquatique

YouTube repense ses publicités pour une expérience plus fluide

YouTube repense ses publicités pour une expérience plus fluide

Gmail abandonne les SMS pour l’authentification à deux facteurs

Gmail abandonne les SMS pour l’authentification à deux facteurs

fleche de gauche carousselfleche de droite caroussel
Accessibilité : partiellement conforme