Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur systèmes et réseaux
    Inscrit en
    juin 2016
    Messages
    324
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Bénin

    Informations professionnelles :
    Activité : Administrateur systèmes et réseaux
    Secteur : Aéronautique - Marine - Espace - Armement

    Informations forums :
    Inscription : juin 2016
    Messages : 324
    Points : 11 211
    Points
    11 211

    Par défaut Google lance sa propre clé de sécurité physique

    Les clés de sécurité physiques, une solution efficace contre les attaques d’hameçonnage ?
    Oui, d'après le retour d'expérience de Google

    Les cyberattaques sont un problème récurrent auquel toutes les entreprises technologiques sont, à un moment ou à un autre, confrontées. Google, une des plus grandes firmes IT au monde, n’a certainement pas été épargné par les pirates. Mais, la donne a changé - en ce qui concerne les attaques par hameçonnage - lorsqu’en 2017, l’entreprise de la Silicon Valley a remplacé les mots de passe de tous ses employés par des clés de sécurité physiques, rendant ipso facto les attaques d’hameçonnage beaucoup plus ardues. Rappelons que dans la même année, l’entreprise avait entrepris de renforcer la sécurité autour de ses services tels que Gmail ou Google Drive en y associant également des clés de sécurité physiques. C’est donc dans la droite ligne de ces mesures que Google a exigé de ses employés l’usage de ces clés de sécurité en lieu et place des mots de passe ou des codes uniques.

    Nom : securitykey-800x410.jpg
Affichages : 3396
Taille : 53,6 Ko

    Les clés de sécurité sont des périphériques USB peu coûteux qui offrent une approche alternative à l'authentification à deux facteurs (2FA), qui obligeait l'utilisateur à se connecter à un site Web à l'aide d’un mot de passe et d’un appareil mobile. Elles fonctionnent sans avoir besoin de pilotes logiciels spéciaux. Et apparemment, elles semblent faire leurs preuves. « Nous n'avons eu aucune prise de contrôle de compte signalée ou confirmée depuis la mise en place des clés de sécurité chez Google », a déclaré un porte-parole de l’entreprise. « Les utilisateurs peuvent être invités à s'authentifier en utilisant leur clé de sécurité pour de nombreuses applications et pour diverses raisons. Tout dépend de la sensibilité de l'application et du risque de l'utilisateur à ce moment-là », a-t-il ajouté.

    Le principe de l'authentification à deux facteurs est que même si les pirates parviennent à dérober votre mot de passe, ils ne puissent toujours pas se connecter à votre compte, sauf s'ils parviennent à pirater ou posséder le second facteur. Les formes les plus courantes d’authentification à deux facteurs exigent que l'utilisateur ajoute un mot de passe avec un code unique envoyé à son appareil mobile via un message texte ou une application. Et avant 2017, même les employés de Google devaient se servir de codes uniques générés par Google Authenticator. La clé de sécurité, par contre, exécute une forme d’authentification appelée Universal 2nd Factor qui permet à l’utilisateur d’achever le processus de connexion rien qu’en insérant le périphérique USB et en appuyant sur un bouton de l’appareil.

    L'Universal 2nd Factor est une norme émergente d'authentification open source, et à ce titre seule une poignée de sites de haut niveau le supportent (Dropbox, Facebook, Github, les services de Google). La plupart des principaux gestionnaires de mots de passe, notamment Dashlane, Keepass et LastPass, le prennent également en charge. Il est actuellement supporté par Chrome, Mozilla Firefox et Opera.

    L'utilisation de SMS et d'appels téléphoniques automatisés pour recevoir un code ponctuel serait moins sûre que de se fier à une application telle que Google Authenticator ou Authy. En effet, les pirates pourraient intercepter ce code ponctuel en incitant le fournisseur de services mobiles à échanger la carte SIM de l'appareil mobile ou à transférer le numéro de mobile vers un autre appareil. Cependant, si les seules options d’authentification à deux facteurs offertes par un site sont des SMS et/ou des appels téléphoniques, c'est toujours mieux que d'utiliser uniquement un mot de passe.

    Source : Billet de blog

    Et vous ?

    Qu’en pensez-vous ?
    Les clés de sécurité physiques sont-elles une solution efficace contre les attaques d’hameçonnage ? Pourquoi ?

    Voir aussi

    Californie : un lycéen change ses notes après une attaque par hameçonnage et fait désormais face à 14 chefs d'inculpation

    Une campagne d'attaque sur Android combine l'hameçonnage d'identifiant à un Trojan bancaire pour des attaques plus sophistiquées

    Les cybercriminels utilisent des jeux de caractères trompeurs dans des noms de domaines pour créer des sites d'hameçonnage difficiles à détecter

    Google intègre une fonctionnalité anti-phishing dans son application Gmail pour Android à la suite des récentes attaques subies par ses utilisateurs

    Google va remplacer la vérification en deux étapes par une paire de clés physiques pour renforcer la sécurité de ses services
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre expérimenté
    Homme Profil pro
    Chargé de projet
    Inscrit en
    novembre 2015
    Messages
    402
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Seine Saint Denis (Île de France)

    Informations professionnelles :
    Activité : Chargé de projet
    Secteur : Industrie

    Informations forums :
    Inscription : novembre 2015
    Messages : 402
    Points : 1 631
    Points
    1 631

    Par défaut

    Je veux pas faire le rabat joie et tout mais :
    Lier ses comptes par le même moyen d'authentification i.e le smartphone n'est ce pas un excellent moyen de lié plusieurs comptes et donc plusieurs sources d'informations à une même personne et donc faire un profil bien juteux à revendre aux publicitaire et autre ?
    Pour ne pas passer pour un boulet :
    http://coursz.com/difference-entre-r...-et-gddr4.html

  3. #3
    Rédacteur/Modérateur

    Avatar de bouye
    Homme Profil pro
    Information Technologies Specialist (Scientific Computing)
    Inscrit en
    août 2005
    Messages
    5 993
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 42
    Localisation : Nouvelle-Calédonie

    Informations professionnelles :
    Activité : Information Technologies Specialist (Scientific Computing)
    Secteur : Agroalimentaire - Agriculture

    Informations forums :
    Inscription : août 2005
    Messages : 5 993
    Points : 21 558
    Points
    21 558
    Billets dans le blog
    39

    Par défaut

    L'utilisation de SMS et d'appels téléphoniques automatisés pour recevoir un code ponctuel serait moins sûre que de se fier à une application telle que Google Authenticator ou Authy. En effet, les pirates pourraient intercepter ce code ponctuel en incitant le fournisseur de services mobiles à échanger la carte SIM de l'appareil mobile ou à transférer le numéro de mobile vers un autre appareil.
    Il me semble que voler une clé physique ça doit être encore plus facile que de détourner un SMS...
    Merci de penser au tag quand une réponse a été apportée à votre question. Aucune réponse ne sera donnée à des messages privés portant sur des questions d'ordre technique. Les forums sont là pour que vous y postiez publiquement vos problèmes.

    suivez mon blog sur Développez.

    Programming today is a race between software engineers striving to build bigger and better idiot-proof programs, and the universe trying to produce bigger and better idiots. So far, the universe is winning. ~ Rich Cook

  4. #4
    Membre émérite
    Avatar de benjani13
    Homme Profil pro
    Consultant en sécurité
    Inscrit en
    février 2010
    Messages
    519
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 25
    Localisation : France

    Informations professionnelles :
    Activité : Consultant en sécurité

    Informations forums :
    Inscription : février 2010
    Messages : 519
    Points : 2 286
    Points
    2 286

    Par défaut

    Citation Envoyé par arond Voir le message
    Je veux pas faire le rabat joie et tout mais :
    Lier ses comptes par le même moyen d'authentification i.e le smartphone n'est ce pas un excellent moyen de lié plusieurs comptes et donc plusieurs sources d'informations à une même personne et donc faire un profil bien juteux à revendre aux publicitaire et autre ?
    L'Universal 2nd Factor (U2F) empêche cela en générant une paire de clés public/privé par site. Aucune forme d'identifiant n'est non plus accessible par le service utilisé. Tout cela est expliqué dans la documentation d'U2F.

    Citation Envoyé par bouye Voir le message
    Il me semble que voler une clé physique ça doit être encore plus facile que de détourner un SMS...
    On ne recommandera jamais assez de protéger la dite clé physique par un mot de passe. Là tu efface toute menace, dans le cas de vol/perte la clé n'est pas utilisable sans se mot de passe. Je rajoute que même dans le cas d'une compromission d'un PC sur lequel est branché la clé, il est impossible de l'utiliser (il faut appuyer sur un bouton physique sur la clé pour valider) ni même d'en extraire les informations. Les bi clés sont générés par la clé et ne transitent jamais par le PC, seul les clés publiques peuvent ensuite être sortie de la clé.

    Les clés types Yubikey et autres cartes à puces permettent vraiment d'améliorer sa sécurité en s’affranchissant des mots de passes bien trop faillibles. Le point noire est que ces solutions sont beaucoup trop compliqués actuellement à mettre en place pour une personne lambda.

  5. #5
    Membre expérimenté
    Homme Profil pro
    Chargé de projet
    Inscrit en
    novembre 2015
    Messages
    402
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Seine Saint Denis (Île de France)

    Informations professionnelles :
    Activité : Chargé de projet
    Secteur : Industrie

    Informations forums :
    Inscription : novembre 2015
    Messages : 402
    Points : 1 631
    Points
    1 631

    Par défaut

    Citation Envoyé par benjani13 Voir le message
    L'Universal 2nd Factor (U2F) empêche cela en générant une paire de clés public/privé par site. Aucune forme d'identifiant n'est non plus accessible par le service utilisé. Tout cela est expliqué dans la documentation d'U2F.
    Merci j'en apprend tout les jours
    Pour ne pas passer pour un boulet :
    http://coursz.com/difference-entre-r...-et-gddr4.html

  6. #6
    Membre éprouvé
    Avatar de Elros
    Homme Profil pro
    Consultant en Business Intelligence
    Inscrit en
    avril 2009
    Messages
    403
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 30
    Localisation : France, Gironde (Aquitaine)

    Informations professionnelles :
    Activité : Consultant en Business Intelligence
    Secteur : Conseil

    Informations forums :
    Inscription : avril 2009
    Messages : 403
    Points : 911
    Points
    911
    Billets dans le blog
    9

    Par défaut

    Citation Envoyé par benjani13 Voir le message
    L'Universal 2nd Factor (U2F) empêche cela en générant une paire de clés public/privé par site. Aucune forme d'identifiant n'est non plus accessible par le service utilisé. Tout cela est expliqué dans la documentation d'U2F.



    On ne recommandera jamais assez de protéger la dite clé physique par un mot de passe. Là tu efface toute menace, dans le cas de vol/perte la clé n'est pas utilisable sans se mot de passe. Je rajoute que même dans le cas d'une compromission d'un PC sur lequel est branché la clé, il est impossible de l'utiliser (il faut appuyer sur un bouton physique sur la clé pour valider) ni même d'en extraire les informations. Les bi clés sont générés par la clé et ne transitent jamais par le PC, seul les clés publiques peuvent ensuite être sortie de la clé.

    Les clés types Yubikey et autres cartes à puces permettent vraiment d'améliorer sa sécurité en s’affranchissant des mots de passes bien trop faillibles. Le point noire est que ces solutions sont beaucoup trop compliqués actuellement à mettre en place pour une personne lambda.
    Je n'ai pas encore cherché mais, je suis certain que Developpez.com (et moi) aimerait un petit tutoriel pour faciliter le déploiement de ce genre d'outil

    Elros
    Un message vous a aidé ? Votez en cliquant sur Pensez au bouton

    Venez faire un petit tour sur mon blog : Elros - Bienvenue dans le monde de la Business Intelligence

  7. #7
    Membre émérite
    Avatar de benjani13
    Homme Profil pro
    Consultant en sécurité
    Inscrit en
    février 2010
    Messages
    519
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 25
    Localisation : France

    Informations professionnelles :
    Activité : Consultant en sécurité

    Informations forums :
    Inscription : février 2010
    Messages : 519
    Points : 2 286
    Points
    2 286

    Par défaut

    J'avais suivi ce tutoriel, en anglais, pour configurer ma Yubikey et l'utiliser comme clé SSH et PGP : https://gist.github.com/ageis/14adc3...912b4c79c4aaa4

    Ce tutoriel donne aussi de bons conseils sur la manière de la configurer de façon sécurisé et faire en sorte de pouvoir recharger une clé avec les mêmes infos si on la perd.

  8. #8
    Membre éprouvé
    Avatar de Elros
    Homme Profil pro
    Consultant en Business Intelligence
    Inscrit en
    avril 2009
    Messages
    403
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 30
    Localisation : France, Gironde (Aquitaine)

    Informations professionnelles :
    Activité : Consultant en Business Intelligence
    Secteur : Conseil

    Informations forums :
    Inscription : avril 2009
    Messages : 403
    Points : 911
    Points
    911
    Billets dans le blog
    9

    Par défaut

    Citation Envoyé par benjani13 Voir le message
    J'avais suivi ce tutoriel, en anglais, pour configurer ma Yubikey et l'utiliser comme clé SSH et PGP : https://gist.github.com/ageis/14adc3...912b4c79c4aaa4

    Ce tutoriel donne aussi de bons conseils sur la manière de la configurer de façon sécurisé et faire en sorte de pouvoir recharger une clé avec les mêmes infos si on la perd.
    Merci
    Un message vous a aidé ? Votez en cliquant sur Pensez au bouton

    Venez faire un petit tour sur mon blog : Elros - Bienvenue dans le monde de la Business Intelligence

  9. #9
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur systèmes et réseaux
    Inscrit en
    juin 2016
    Messages
    324
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Bénin

    Informations professionnelles :
    Activité : Administrateur systèmes et réseaux
    Secteur : Aéronautique - Marine - Espace - Armement

    Informations forums :
    Inscription : juin 2016
    Messages : 324
    Points : 11 211
    Points
    11 211

    Par défaut Google lance sa propre clé de sécurité physique

    Google lance sa propre clé de sécurité physique
    après avoir constaté que ces périphériques USB sont efficaces contre les attaques d'hameçonnage

    Après avoir expérimenté les clés de sécurité en interne, Google a rapporté que celles-ci offrent une solution efficace contre les attaques d'hameçonnage. La suite de l'histoire, c'est que la firme américaine a décidé de lancer maintenant sa propre clé de sécurité, appelée Titan.

    Nom : Screen-Shot-2018-07-24-at-11.25.13-AM.png
Affichages : 5010
Taille : 176,3 Ko

    À la dernière conférence Google Cloud Next, la marque de clés de sécurité physiques propre à Google a été présentée. Les entreprises comme Yubico, une entreprise spécialisée en sécurité 2FA dont le chiffre d’affaires avait explosé ces deux dernières années du fait du succès des clés de sécurité, doivent donc se préparer à voir arriver une grosse concurrence. Titan, la clé de sécurité physique made by Google, comprend un firmware développé par l’entreprise elle-même et est déjà disponible. Éventuellement, sa commercialisation s’élargira aux clients généraux de l’entreprise. Comme les clés de sécurité qui circulent déjà sur le marché, Titan fournira un deuxième facteur d’authentification pour l’utilisation de logiciel, l’accès au réseau, la gestion de comptes et pour bien d’autres services encore.

    Il ne suffit donc plus de saisir un simple mot de passe. L’accès aux services est conditionné à l’insertion de la clé de sécurité physique. « Nous préconisons depuis longtemps l’utilisation de clés de sécurité comme moyen d’authentification le plus puissant et le plus résistant aux attaques d'hameçonnage pour les utilisateurs de grande valeur, en particulier les administrateurs de Cloud, afin de les protéger contre les conséquences potentiellement préjudiciables du vol d’informations », a déclaré Jennifer Lin, une directrice de produit Google Cloud. Elle ajoute que Titan offrira aux utilisateurs la tranquillité d’esprit découlant de la certitude que leurs données sont en sécurité.

    « Titan fournit une sécurité très renforcée avec très peu d’interaction et d’effort de la part de l’utilisateur. Sur le backend, tout ce que vous avez à faire sur la console d’administration est de cocher une case qui dit "utiliser les clés de sécurité Titan pour cette application". C’est si simple. Et même en cas d’attaque de type man-in-the-middle ou d’attaques similaires, l’authentification échouera et la connexion sera refusée », a souligné Rob Sadowski, Trust and Security Marketing Lead de Google Cloud.

    L’efficacité de la mesure semble donc être à la hauteur de la menace que représente l'hameçonnage. Selon CyberScoop, environ 71 % des attaques ciblées commencent par des tentatives d'hameçonnage. Bien que d’autres formes plus courantes d’authentification à deux facteurs existent, les clés de sécurité semblent se placer en pole position parce que les autres, semble-t-il, pourraient toutes être piratées beaucoup plus facilement. Mais il faut garder en mémoire que même une authentification multifactorielle pas très sécurisée est toujours mieux qu’une authentification à un seul facteur.

    Source : CyberScoop

    Et vous ?

    Qu’en pensez-vous ?
    Google a-t-il raison de faire confiance à la clé de sécurité physique contre les attaques d'hameçonnage ?

    Voir aussi

    Les clés de sécurité physiques, une solution efficace contre les attaques d'hameçonnage ? Oui, d'après le retour d'expérience de Google

    Californie : un lycéen change ses notes après une attaque par hameçonnage et fait désormais face à 14 chefs d'inculpation

    Une campagne d'attaque sur Android combine l'hameçonnage d'identifiant à un Trojan bancaire pour des attaques plus sophistiquées

    Les cybercriminels utilisent des jeux de caractères trompeurs dans des noms de domaines pour créer des sites d'hameçonnage difficiles à détecter

    Google intègre une fonctionnalité anti-phishing dans son application Gmail pour Android à la suite des récentes attaques subies par ses utilisateurs
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  10. #10
    Membre averti
    Homme Profil pro
    Ingénieur sécurité
    Inscrit en
    mars 2014
    Messages
    150
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 23
    Localisation : France

    Informations professionnelles :
    Activité : Ingénieur sécurité

    Informations forums :
    Inscription : mars 2014
    Messages : 150
    Points : 376
    Points
    376

    Par défaut mensonge ?

    Et même en cas d’attaque de type man-in-the-middle ou d’attaques similaires, l’authentification échouera et la connexion sera refusée
    eum eum eum ...

    Faudrais pas prendre les gens pour des cons ... en cas de Man-In-The-Middle l'authentification seras un sucées pour l’attaquant mais il n'auras pas le mot de passe ah bas si en fait, il auras juste pas le token donc il ne pourra pas se reloguer par la suite par contre il est logué donc il peut potentiellement désactiver le 2FA enfin bref ...

    Le seul moyen qu'ils aurais pour empêcher ça c'est de faire une validation de l'ordinateur sur laquelle la clé est branché, mais ça servirais a rien vue que en MITM bas la validation passerais a travers l'attaquant, j'ai besoin d'en rajouter ? à la rigueur un challenge à la WPA2 bloquerais le mitm jusqu'as un certain point mais il faudrait que toute la co passe via un channel cré via cette négociation de clé, ce qui n'est pas du tous prévue via HTTP(S).

    ils faut ce rappeler qu'a la base un ordi c'est une machine a recopier des bits donc faut pas s'attendre a ce que la machine d'un attaquant ne puisse pas recopier les bits d'un 2FA.

    par contre c'est niquel pour remplacer des mots de passe comme ils le disent vue que ça va bloquer les attaques par dico et la bruteforce sur ce genre de clé c'est inutile (trop longue chaîne de caractère)

    bref je m’énerve lorsque je vois des absurdité pareille la clé est certainement le moyen le plus secure en 2FA mais non ça n’arrête pas du MITM seul un handshake style WPA2 ou du HSTS peuvent empêcher le MITM de fonctionner

  11. #11
    Membre éclairé

    Profil pro
    Inscrit en
    janvier 2014
    Messages
    303
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : janvier 2014
    Messages : 303
    Points : 682
    Points
    682

    Par défaut

    " il faudrait que toute la co passe via un channel cré via cette négociation de clé, ce qui n'est pas du tous prévue via HTTP(S). "
    " ça n’arrête pas du MITM seul un handshake style WPA2 ou du HSTS peuvent empêcher le MITM de fonctionner "

    Je ne comprend pas, HSTS (HTTP Strict Transport Security) n'est pas une partie une partie de HTTPS ?
    Comment HSTS le permettrait si HTTPS ne le permet pas ? ^^'
    Pensez à utilisez les pouces d’appréciation, pour participez à la visibilité de l'apport d'un propos, ou l'intérêt que vous y prêtez... qu'il soit positif ou négatif.

  12. #12
    Expert confirmé
    Avatar de Blondelle Mélina
    Femme Profil pro
    Ingénieur systèmes et réseaux
    Inscrit en
    mars 2018
    Messages
    82
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Âge : 26
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Ingénieur systèmes et réseaux

    Informations forums :
    Inscription : mars 2018
    Messages : 82
    Points : 5 472
    Points
    5 472

    Par défaut Les clés de sécurité Titan de Google sont disponibles à 50 dollars aux États-Unis

    Les clés de sécurité Titan de Google sont disponibles à 50 dollars aux États-Unis,
    Pourquoi les utiliser ou non ?

    Google a eu l’idée de concevoir sa propre clé de sécurité physique, appelée Titan, après avoir expérimenté ces dispositifs sur 85 000 de ses employés l’année dernière. L'entreprise de la Silicon Valley avait remplacé les mots de passe de ses employés par des clés de sécurité physiques. Une expérimentation qui lui permit de découvrir que celles-ci offrent une solution efficace contre les attaques par hameçonnage.

    Cette clé de sécurité physique made by Google est maintenant disponible aux Etats-Unis à 50 dollars, bonus à l’appui. Le bonus comprend une clé de sécurité Bluetooth ainsi qu'un adaptateur USB-C vers USB-A et un câble de connexion USB-C vers USB-A. Même si Google semble très enthousiasmé pour ce qui est de la sortie de sa clé Titan, l'on ne saurait en dire autant des internautes.

    Pour les personnes inscrites aux programmes de sécurité avancée de Google, la firme recommande l’usage de Titan.

    Nom : images (2).jpg
Affichages : 4163
Taille : 5,7 Ko

    Pour certains utilisateurs, 50 dollars est un peu exagéré surtout que d’autres matériels offrant le même service sont disponibles ailleurs à un coût plus bas.

    D'autres utilisateurs déclarent être sceptiques quant à la fiabilité de cette clé publique de Google. Ils auraient peu confiance à Google à cause du FBI ou du gouvernement qui pourrait exiger un jour auprès de Google l’approvisionnement des informations personnelles de ses usagers. Ceci n’est pas le cas avec Apple, déclarent-ils.

    Il y a également des groupes de personnes qui ne voient pas l’utilité de cette clé et préfèrent continuer avec leur bonne et vieille méthode de protection des données.

    Les clés physiques présentent aussi un inconvénient, car si vous les perdez, vous êtes grillés. Avec ces clés, plus besoin de saisir un mot de passe. L’accès aux services est activé dès l’insertion de la clé de sécurité physique sur votre ordinateur.
    Néanmoins, face à ce problème, Google dit qu'il peut vous aider à accéder à nouveau à votre compte, mais le processus de récupération peut prendre plusieurs jours.

    Source : Google Store

    Et vous ?

    Qu'en pensez-vous ? Pensez-vous que cette clé de sécurité physique Titan de Google soit nécessaire ? Partagez vos avis

    Voir aussi :

    Google lance sa propre clé de sécurité physique, après avoir constaté que ces périphériques USB sont efficaces contre les attaques d'hameçonnage
    Les clés de sécurité physiques, une solution efficace contre les attaques d'hameçonnage ? oui, d'après le retour d'expérience de Google
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  13. #13
    Membre régulier
    Profil pro
    Developpeur
    Inscrit en
    décembre 2004
    Messages
    42
    Détails du profil
    Informations personnelles :
    Localisation : France, Loire Atlantique (Pays de la Loire)

    Informations professionnelles :
    Activité : Developpeur

    Informations forums :
    Inscription : décembre 2004
    Messages : 42
    Points : 106
    Points
    106

    Par défaut

    La clé physique peut-être le deuxième facteur comme la biométrie d'ailleurs. Mais conserver le classique login/mot de passe en premier facteur me parait encore indispensable.

  14. #14
    Membre à l'essai
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    août 2018
    Messages
    6
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Hérault (Languedoc Roussillon)

    Informations professionnelles :
    Activité : Ingénieur développement logiciels

    Informations forums :
    Inscription : août 2018
    Messages : 6
    Points : 18
    Points
    18

    Par défaut Sources ?

    Il y a des sources pour tout ce qui est avancé dans le dernier paragraphe ? ...

  15. #15
    Expert confirmé
    Avatar de Blondelle Mélina
    Femme Profil pro
    Ingénieur systèmes et réseaux
    Inscrit en
    mars 2018
    Messages
    82
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Âge : 26
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Ingénieur systèmes et réseaux

    Informations forums :
    Inscription : mars 2018
    Messages : 82
    Points : 5 472
    Points
    5 472

    Par défaut Il y a des sources pour tout ce qui est avancé dans le dernier paragraphe ? ...

    Citation Envoyé par PofNClimb Voir le message
    Il y a des sources pour tout ce qui est avancé dans le dernier paragraphe ? ...
    Suivez ce lien https://krebsonsecurity.com/2018/07/...oyee-phishing/
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  16. #16
    Membre du Club
    Homme Profil pro
    Développeur Web
    Inscrit en
    février 2014
    Messages
    14
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : février 2014
    Messages : 14
    Points : 57
    Points
    57

    Par défaut

    Google dit qu'il peut vous aider à accéder à nouveau à votre compte, mais le processus de récupération peut prendre plusieurs jours ...
    Ça donne confiance!

  17. #17
    Chroniqueur Actualités
    Avatar de Patrick Ruiz
    Homme Profil pro
    Rédacteur technique
    Inscrit en
    février 2017
    Messages
    648
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Rédacteur technique
    Secteur : Communication - Médias

    Informations forums :
    Inscription : février 2017
    Messages : 648
    Points : 22 546
    Points
    22 546

    Par défaut Les clés de sécurité physiques Titan de Google sont fabriquées par une entreprise chinoise

    Les clés de sécurité physiques Titan de Google sont fabriquées par une entreprise chinoise
    Ce qui inquiète des experts du domaine

    Depuis peu, Google met des clés de sécurité physiques à la vente sur sa boutique en ligne. La firme de Mountain View a chargé une entreprise chinoise de la fabrication des dispositifs Titan utilisés pour la connexion sécurisée à des services en ligne. La manœuvre inquiète des experts du domaine.


    À San Francisco lors de sa conférence Next cloud du mois dernier, le géant technologique a procédé à la présentation desdites clés sans nommer le fabricant. Une publication de la CNBC fait état de ce que Google joue ce rôle d’un point de vue légal. Elle mentionne ensuite Feitian comme responsable du volet fabrication des clés dans la pratique. Motherboard rapporte que Google lui a confirmé que Feitian fabrique effectivement les dispositifs de sécurité et que le géant de la Tech ne trouve aucun problème à travailler avec l’entreprise chinoise basée à Beijing.

    En début d’année, Google a finalisé avec l’acquisition des activités hardware de HTC. L'acquisition d’une équipe du constructeur taïwanais de smartphones est une indication de la volonté de Google de mettre le paquet sur ses projets de production de son propre hardware. La décision du géant de la Tech de confier la fabrication de ces nouveaux dispositifs de sécurité à une entreprise chinoise est donc aux antipodes de la précédente manœuvre. Bien plus, elle inquiète des experts de la sphère de la cybersécurité.

    Ces derniers appellent à plus de transparence autour des clés. « Je crois que ce serait une bonne chose s’ils documentent les processus de leur chaîne d’approvisionnement », déclare Alex Stamos – responsable de la sécurité des systèmes d’information de l’université de Standford. Pour le moment, les clés sont à la vente aux USA et au sein de la communauté de la cybersécurité du pays, il y a des craintes que le gouvernement chinois en tire des bénéfices. « En Chine, la chaîne d’approvisionnement est souvent dictée par la politique gouvernementale », rapporte Motherboard des propos d’un autre expert.

    Nom : titan key.jpg
Affichages : 2398
Taille : 29,0 Ko

    Les experts évoquent la possibilité que le gouvernement chinois force l’entreprise chargée de la fabrication à introduire des portes dérobées au sein des dispositifs. Leur posture est compréhensible quand on se souvient que l’Agence nationale pour la sécurité des États-Unis (NSA) serait parvenue à introduire des backdoors dans des produits de l’équipementier réseau Cisco. En réponse à ces inquiétudes, Google répond que le firmware de la puce qui fournit les clés de sécurité est développé par ses soins et que le chip est scellé avant son acheminement au fabricant.

    Cette situation pose le problème plus général de cette dépendance à la Chine. Apple, Samsung, etc. disposent de chaînes de montage sur le sol de l’empire du Milieu. Le problème est connu : il faut minimiser les dépenses en s’appuyant sur une main-d’oeuvre abondante et très peu coûteuse. Seulement, cela se fait avec des risques de compromission de la sécurité des consommateurs desdits produits. Dès son entrée en fonction, Donald Trump a décidé d’attraper le taureau par les cornes en incitant les géants de la Tech étasuniens à construire des usines sur place.

    Sources : CNBC, Motherboard

    Et vous ?

    Qu’en pensez-vous ?

    Quelles sont les mesures prises au niveau européen pour s'affranchir de cette dépendance à la Chine ? Quel commentaire faites-vous de ces dernières ?

    Voir aussi :

    Google va remplacer la vérification en deux étapes par une paire de clés physiques pour renforcer la sécurité de ses services

    Google apporte Advanced Protection à son service de messagerie Gmail, un ensemble d'outils pour renforcer la sécurité de votre adresse électronique

    Les clés de sécurité physiques, une solution efficace contre les attaques d'hameçonnage ? Oui, d'après le retour d'expérience de Google
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  18. #18
    Membre éprouvé Avatar de onilink_
    Profil pro
    Inscrit en
    juillet 2010
    Messages
    271
    Détails du profil
    Informations personnelles :
    Âge : 27
    Localisation : France

    Informations forums :
    Inscription : juillet 2010
    Messages : 271
    Points : 1 088
    Points
    1 088

    Par défaut

    Ils ont pas moyen de vérifier le hardware physiquement, en regardant directement le DIE au microscope électronique ou équivalent?
    C'est du taf mais j'imagine qu'ils ont les moyens. Et au moins ils seraient sûr que ce qui devait être gravé a été gravé sans changements.
    A moins que les technologies de gravure récentes soient trop complexe à visualiser (j'ai cru comprendre qu'on avait de plus en plus de couches).
    Des tutos de pixel art: https://twitter.com/OniMille

  19. #19
    Nouveau Candidat au Club
    Homme Profil pro
    Urbaniste
    Inscrit en
    juin 2018
    Messages
    55
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Calvados (Basse Normandie)

    Informations professionnelles :
    Activité : Urbaniste

    Informations forums :
    Inscription : juin 2018
    Messages : 55
    Points : 0
    Points
    0

    Par défaut

    @onilink_

    Il n'y a pas que le multi-couche qui peux poser des problèmes, les fondeurs collent aussi des systèmes pour empêcher l'observation au microscope comme des gilles qu'on retrouve fréquemment sur les circuits pour qu'on ne puisse pas voir le composant même après l'avoir débarrassé de son boitier/enrobage par exemple.

  20. #20
    Membre éprouvé Avatar de onilink_
    Profil pro
    Inscrit en
    juillet 2010
    Messages
    271
    Détails du profil
    Informations personnelles :
    Âge : 27
    Localisation : France

    Informations forums :
    Inscription : juillet 2010
    Messages : 271
    Points : 1 088
    Points
    1 088

    Par défaut

    Yep, mais avec le bon matériel on peut les supprimer (genre acide hydrofluorique, extrêmement dangereux).
    Si je dis pas de bêtises y a pas mal de compagnies par le passé (peut être encore maintenant) qui étaient spécialisées dans le reverse engineering de puces de silicium.
    Je me souviens des puces RFID Mifare vielles génération soit disant sécurisées qui ne l'étaient en fait pas du tout.
    Toute leur "sécurité" était juste basé sur le fait que l'attaquant n'était pas sensé connaître l'algorithme utilisé...
    Et c'était utilisé par l'armée, les grandes institutions...
    Des tutos de pixel art: https://twitter.com/OniMille

Discussions similaires

  1. La France est-elle un pays où les communautés font la loi ?
    Par Jon Shannow dans le forum Politique
    Réponses: 59
    Dernier message: 11/06/2018, 16h16
  2. Réponses: 59
    Dernier message: 07/04/2011, 10h32
  3. Réponses: 3
    Dernier message: 30/09/2009, 11h26
  4. WSS 3.0 est elle ma solution de GED ?
    Par maxban dans le forum SharePoint
    Réponses: 4
    Dernier message: 17/01/2008, 11h07
  5. une BDD est-elle la solution, si oui laquelle ?
    Par franck.martin dans le forum Décisions SGBD
    Réponses: 4
    Dernier message: 11/01/2007, 16h14

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo