Ouvrir le menu principal

MacGeneration

Recherche

Une faille dans les clés de sécurité permet une attaque compliquée contre les YubiKey 5

Pierre Dandumont

mercredi 04 septembre 2024 à 14:00 • 20

Matériel

Depuis quelques années, les clés de sécurité basées sur les travaux de l'alliance FIDO sont de plus en plus populaires. Elles offrent en effet un second facteur d'authentification bien meilleur qu'un simple SMS (par exemple) et peuvent même remplacer totalement un mot de passe. Mais une faille dans le code d'Infineon, qui fournit les puces de certaines clés, peut poser des soucis de sécurité et même permettre à un attaquant (très) motivé de cloner une clé comme les modèles de la gamme YubiKey 5.

La clé YubiKey 5 est vulnérable.

Nous n'allons pas entrer dans les détails, car le sujet est très compliqué, mais les personnes intéressées pourront aller lire ce papier qui explique exactement le fonctionnement de l'attaque. Voici tout de même une explication schématique du problème. Dans une bonne partie des clés de sécurité, la puce qui effectue les calculs nécessaires à la validation est fournie par la société Infineon, qui s'occupe aussi habituellement de fournir la partie logicielle (le firmware). L'accès à ce dernier et aux API est très contrôlé, mais des chercheurs se sont tout de même rendu compte qu'une étape cruciale dans les calculs pouvait être attaquée par ce qu'on appelle un side channel (ou canal latéral). L'idée consiste à mesurer très finement les variations de tensions et différents paramètres de la puce pour arriver à déterminer le temps de calcul exact d'une des étapes1 et en déduire la clé de chiffrement. Expliqué comme ça, ça semble simple, mais en pratique l'attaque demande beaucoup d'étapes qui rendent les attaques compliquées.

L'attaque nécessite de démonter la clé (et la remonter proprement ensuite).

Ars Technica donne les différentes étapes.

• L'attaquant doit connaître le nom d'utilisateur et le mot de passe de la personne attaquée, en les récupérant par exemple via du phishing.
• Il doit avoir un accès physique à la clé de sécurisation pendant quelques minutes.
• Il doit démonter la clé pour installer des sondes et du matériel pour effectuer l'attaque, ce qui nécessite du matériel onéreux (il n'est pas possible de le faire sur une table de café près de la victime, par exemple).
• L'attaque nécessite d'effectuer plusieurs essais de connexion avec les informations de la première étape pour effectuer les mesures (avec le risque que le service prévienne l'attaqué).
• L'attaquant doit refermer la clé sans que l'ouverture soit visible et la rendre à la victime.
• Des calculs doivent être effectués pour obtenir la clé à partir des mesures. Ils prennent actuellement environ 24 heures.

Le matériel nécessaire est coûteux (plusieurs milliers de dollars).

Une fois toutes ces étapes franchies, l'attaquant dispose d'une copie de la clé de sécurité et peut donc se connecter à des services qui reposent sur la confiance de l'attaqué envers celle-ci. Vous vous en doutez, cette attaque (très) compliquée n'est pas envisageable pour un utilisateur qui utilise une clé FIDO pour sécuriser l'accès à un service quelconque.

C’est quoi, les passkeys ?

C’est quoi, les passkeys ?

Mais pour un groupe avec de gros moyens qui veut cibler une personne qui a accès à des données très confidentielles qui reposent sur une clé de sécurité, elle est (peut-être) envisageable.

Le problème des YubiKey 5

l'attaque met en avant les clés YubiKey 5 (assez populaires, elles sont disponibles dès 55 €) mais d'autres modèles qui reposent sur la technologie d'Infineon sont potentiellement touchés. La marque a réagi et explique que les clés qui ont un firmware supérieur ou égal à la version 5.7 (proposé dès mai 2024) sont protégées contre l'attaque. Le principal problème, c'est que le firmware ne peut pas être mis à jour sur les clés, pour des raisons de sécurité, et que seules les versions récentes sont donc immunisées, car elles utilisent un firmware développé par Yubico et pas celui d'Infineon. La seule solution pratique pour ceux qui ont peur de l'attaque consiste donc à changer de clé de sécurité… et à aller modifier les réglages des services qui emploient la clé en question pour désactiver l'accès.

L'application indique la version du firmware.
Test de la Yubikey 5ci, une clé de sécurité pour Mac et iPhone

Test de la Yubikey 5ci, une clé de sécurité pour Mac et iPhone

Dans la pratique, les risques demeurent tout de même assez faibles et reposent sur de nombreuses étapes compliquées, comme le simple fait que l'attaquant doit disposer au départ de l'identifiant et du mot de passe de l'utilisateur. Il n'y a donc pas une nécessité impérieuse de changer la clé si vous en avez une.

La version Nano est compliquée à démonter.

  1. La contre-mesure la plus classique consiste à effectuer des calculs avec une méthode qui se base sur une durée constante, ce qui permet d'éviter ce genre de déductions.  ↩︎

illustration magazine 25 ans

MacGeneration a 25 ans !

Participez à la fête et découvrez l’histoire de votre site favori en précommandant notre magazine exclusif.

Je précommande le magazine

Apple, Anker : de nombreux adaptateurs secteur en promo (jusqu’à -33 %)

10:02

• 0


Les meilleures offres de la Black Week. Tout au long du mois de novembre

Partenaire


Le SSD Thunderbolt 5 d'OWC est disponible : le plus rapide du marché, mais aussi le plus cher

20/11/2024 à 21:30

• 14


Test de l’iMac 24" M4 : haut en couleur

20/11/2024 à 20:30

• 25


Promotion Black Friday de Godeal24 : Microsoft Office à - 80 %, c'est maintenant 📍

20/11/2024 à 20:22


macOS 15.2 : quatrième bêta développeur, et troisième bêta publique 🆕

20/11/2024 à 19:56

• 5


Refurb : -220 € sur le MacBook Air M3 en 16/1 To

20/11/2024 à 17:45

• 37


Aqara commercialise aussi un détecteur de fumée connecté compatible HomeKit (avec code promo 🆕)

20/11/2024 à 15:25


Apple vs DoJ : la Pomme va demander à un juge fédéral d’abandonner les poursuites

20/11/2024 à 15:09

• 50


Apple vend désormais elle-même des espaces publicitaires dans Apple News

20/11/2024 à 14:38

• 8


Beats : Erling Haaland fait de la pub à l'ancienne

20/11/2024 à 12:15

• 10


YouTube : IMG_0001 déterre de vieilles vidéos filmées à l’iPhone

20/11/2024 à 11:44

• 9


Incogni en énorme promotion pour le Black Friday, reprenez le contrôle de vos données en ligne ! 📍

20/11/2024 à 10:19


Bluesky dépasse les 20 millions de comptes, dont celui de MacGeneration

20/11/2024 à 09:45

• 83


Pinwheel, un gestionnaire de couleurs destiné aux développeurs par les créateurs d’iStat Menus

20/11/2024 à 08:00

• 9


Test des MacBook Pro M4 à M4 Max : une équipe de gros bras

19/11/2024 à 23:30

• 28