Interception dans un périmètre de 9 mètres 

Un attaquant proche pourrait renommer n’importe quel périphérique Bluetooth avec le nom de la clé de sécurité Titan et tromper un utilisateur pour qu’il se connecte à ce terminal frauduleux. Une fois connecté à la victime via Bluetooth, le pirate pourrait réaliser différentes actions, prévient Google.

La firme américaine identifie également un autre scénario d’attaque, dans lequel un attaquant pourrait se connecter à la clé de sécurité Bluetooth d’une personne avant son légitime propriétaire. Dans ce cas, si l’attaquant connaissait déjà les identifiants de connexion de la personne, le compte serait accessible.

Google recommande de désactiver l’appairage de la clé Bluetooth et de demander un remplacement. La société souligne que si vous utilisez l’appairage de la clé de sécurité, cette opération doit s’effectuer dans un lieu privé sans attaquant potentiel à une portée de 9 mètres.

Les clés de sécurité sont en principe un moyen efficace d’empêcher la prise de contrôle de comptes, mais l’alerte de Google souligne que les pirates disposent toujours d’options pour mener leurs attaques. Néanmoins, cette vulnérabilité exige qu’un attaquant soit proche et orchestre un piratage ciblé et coordonné.

“Il est beaucoup plus sûr d’utiliser la clé affectée plutôt qu’aucune clé du tout” assure d’ailleurs Christiaan Brand, chef de produit Google Cloud. “Les clés de sécurité sont la meilleure protection contre le phishing actuellement disponible.”

Vous pouvez vérifier si votre clé de sécurité Titan est affectée en recherchant un “T1” ou “T2” au dos de celle-ci. Google propose de remplacer gratuitement une clé vulnérable. A noter que la Titan Key est aussi disponible sous forme USB, pas touchée celle-ci par la faille.

Advertisements

Leave a Reply

This site uses Akismet to reduce spam. Learn how your comment data is processed.