Notebookcheck Logo

La vulnérabilité de la clé d'authentification à deux facteurs de Yubico, qui n'a pas été corrigée, rompt la sécurité de la plupart des dispositifs Yubikey 5, Security Key et YubiHSM 2FA

La vulnérabilité de la clé d'authentification à deux facteurs de Yubico, non corrigible, rompt la sécurité de la plupart des dispositifs 2FA Yubikey 5, Security Key et YubiHSM. (Source de l'image : Yubico)
La vulnérabilité de la clé d'authentification à deux facteurs de Yubico, non corrigible, rompt la sécurité de la plupart des dispositifs 2FA Yubikey 5, Security Key et YubiHSM. (Source de l'image : Yubico)
Une vulnérabilité non corrigible de la clé d'authentification à deux facteurs de Yubico a rompu la sécurité de la plupart des dispositifs Yubikey 5, Security Key et YubiHSM 2FA. La JavaCard Feitian A22 est également vulnérable. Les clés d'authentification à deux facteurs vulnérables doivent être remplacées dès que possible, en particulier lorsqu'elles sont utilisées pour sécuriser de la cybermonnaie ou des informations top secrètes.

Une vulnérabilité de la clé d'authentification à deux facteurs de Yubico non corrigible a rompu la sécurité de la plupart des dispositifs Yubikey 5, Security Key et YubiHSM 2FA. La JavaCard Feitian A22 et d'autres dispositifs utilisant des TPM Infineon de la série SLB96xx sont également vulnérables. Toutes les clés 2FA vulnérables doivent être considérées comme compromises et remplacées par des clés non vulnérables dès que possible.

L'authentification de sécurité à deux facteurs (2FA) utilise un code unique généré par une application logicielle (par exemple Microsoft Authenticator) ou une clé matérielle (par exemple Yubikey) en plus d'un mot de passe pour se connecter à des comptes en ligne. Un nombre croissant de fournisseurs de comptes, tels que les banques, ont mis en place la sécurité 2FA afin de réduire le vol de données et d'argent.

Les clés d'authentification à deux facteurs reposent sur la génération d'un code unique à l'aide de méthodes difficiles à décrypter. Les applications et les clés d'authentification à deux facteurs modernes utilisent souvent des mathématiques plus complexes telles que les algorithmes à courbe elliptique (approfondissement des mathématiques sur le site d'IBM).

Les attaques par canal latéral surveillent certains aspects d'un appareil électronique pour créer une attaque. Pour les puces TPM Infineon vulnérables utilisées dans les clés Yubico, Feitian et autres clés 2FA, les chercheurs de Ninjalabs ont passé deux ans à capturer et à déchiffrer les émissions radio des puces pour créer une attaque.

Les pirates auraient besoin d'une heure d'accès à la clé pour capter les émissions radio, puis d'un jour ou deux pour déchiffrer les données et créer une copie de la clé 2FA. Les mathématiques et les techniques étant assez complexes, les lecteurs ayant des connaissances en cryptographie, en mathématiques et en électronique peuvent lire les méthodes complexes dans l'article du NinjaLab ( ). NinjaLab a précédemment révélé des vulnérabilités similaires dans d'autres clés Google Titan, Feitian, Yubico et NXP.

Les utilisateurs de clés 2FA de Yubico devraient consulter l'avis de sécurité de Yubico https://www.yubico.com/support/security-advisories/ysa-2024-03/ pour vérifier si leurs clés sont vulnérables. Les utilisateurs d'autres dispositifs devront demander aux fabricants si les dispositifs utilisent des TPM vulnérables de la série SLB96xx d'Infineon. Les appareils concernés ne peuvent pas être corrigés pour corriger la faille de sécurité.

Tous les propriétaires de clés concernées doivent envisager de passer à des solutions de remplacement après avoir vérifié que ces dernières ne sont pas vulnérables. Les clés 2FA alternatives incluent Feitian ou iShield.

Les appareils répertoriés sont vulnérables à la faille de sécurité et les utilisateurs devraient envisager de les remplacer. (Source de l'image : Yubico)
Les appareils répertoriés sont vulnérables à la faille de sécurité et les utilisateurs devraient envisager de les remplacer. (Source de l'image : Yubico)
Ninjalabs a utilisé des sondes pour mesurer les émissions radio des puces vulnérables afin de mettre au point une attaque. (Source de l'image : Ninjalabs)
Ninjalabs a utilisé des sondes pour mesurer les émissions radio des puces vulnérables afin de mettre au point une attaque. (Source de l'image : Ninjalabs)
Exemple de signaux électroniques capturés par Ninjalabs pour rechercher une vulnérabilité. (Source de l'image : Ninjalabs)
Exemple de signaux électroniques capturés par Ninjalabs pour rechercher une vulnérabilité. (Source de l'image : Ninjalabs)
Please share our article, every link counts!
> Revues et rapports de ordinateurs portatifs et smartphones, ordiphones > Archives des nouvelles 2024 09 > La vulnérabilité de la clé d'authentification à deux facteurs de Yubico, qui n'a pas été corrigée, rompt la sécurité de la plupart des dispositifs Yubikey 5, Security Key et YubiHSM 2FA
David Chien, 2024-09- 4 (Update: 2024-09- 4)