IdentifiantMot de passe
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Actualités Discussion :

Des chercheurs français ont réussi à cloner une clé de sécurité YubiKey

  1. 11/01/2021, 15h48 #1
    Stéphane le calme
    Stéphane le calme est déconnecté
    Chroniqueur Actualités
    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    Mars 2013
    Messages
    9 538
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : Mars 2013
    Messages : 9 538
    Par défaut Des chercheurs français ont réussi à cloner une clé de sécurité YubiKey
    Des chercheurs français ont réussi à cloner une clé de sécurité Google Titan grâce à une attaque par canal auxiliaire,
    qui nécessite un accès physique aux appareils

    La clé de sécurité Google Titan permet une authentification à double facteur renforcée. Compatible avec les principaux systèmes d'exploitation et avec de nombreuses plateformes, grâce à sa conformité à la norme FIDO, le dispositif se décline en version Bluetooth, USB-A et USB-C. Son utilisation est simple : au moment de s'identifier pour accéder à son compte, l'utilisateur doit connecter la clé à son téléphone, son ordinateur ou sa tablette. Si l'équipement n'est pas détecté, l'accès sera alors refusé, ce qui limite les risques de piratage.

    Après l'avoir expérimenté en interne, Google a rapporté que sa clé de sécurité offrait une solution efficace contre les attaques d'hameçonnage et a décidé par la suite de la commercialiser. « Nous préconisons depuis longtemps l’utilisation de clés de sécurité comme moyen d’authentification le plus puissant et le plus résistant aux attaques d'hameçonnage pour les utilisateurs de grande valeur, en particulier les administrateurs de Cloud, afin de les protéger contre les conséquences potentiellement préjudiciables du vol d’informations », a déclaré en 2018 Jennifer Lin, une directrice de produit Google Cloud. Elle a ajouté que Titan offrira aux utilisateurs la tranquillité d’esprit découlant de la certitude que leurs données sont en sécurité.

    « Titan fournit une sécurité très renforcée avec très peu d’interaction et d’effort de la part de l’utilisateur. Sur le backend, tout ce que vous avez à faire sur la console d’administration est de cocher une case qui dit "utiliser les clés de sécurité Titan pour cette application". C’est si simple. Et même en cas d’attaque de type man-in-the-middle ou d’attaques similaires, l’authentification échouera et la connexion sera refusée », a souligné à la même époque Rob Sadowski, Trust and Security Marketing Lead de Google Cloud.

    Nom : titan key.jpg Affichages : 3909 Taille : 29,0 Ko

    Les avantages évoqués par Google sont :
    • Une protection de compte renforcée : les clés de sécurité utilisent la cryptographie à clé publique pour vérifier l'identité d'un utilisateur ainsi que l'URL de la page de connexion, afin qu'aucun pirate ne puisse accéder à votre compte même si vous fournissez malencontreusement votre nom d'utilisateur et votre mot de passe.
    • Un matériel de confiance : les clés de sécurité Titan intègrent une puce matérielle incluant un micrologiciel conçu par Google qui valide leur intégrité. Cela permet de garantir que les clés n'ont pas été altérées.
    • Un matériel largement accepté : les clés de sécurité Titan fonctionnent avec les appareils et navigateurs courants ainsi qu'avec un écosystème de plus en plus vaste de services compatibles avec les normes FIDO. Une clé de sécurité permet de s'authentifier auprès de services personnels et professionnels.

    Les principales fonctionnalités sont :
    • Une authentification à deux facteurs antihameçonnage : les clés de sécurité Titan fournissent la preuve chiffrée que les utilisateurs interagissent avec le service légitime utilisé pour les enregistrer, et qu'ils sont en possession de la clé qui leur est associée.
    • Un matériel antipiratage : une puce matérielle intégrant un micrologiciel conçu par Google permet de vérifier que les clés n'ont pas été altérées. Les puces matérielles sont développées pour résister aux attaques physiques visant à extraire les micrologiciels et le matériel des clés secrètes.
    • Plusieurs formes pour garantir la compatibilité des appareils : les clés de sécurité Titan sont déclinées en trois formes : USB-A/NFC, Bluetooth/NFC/USB-A et USB-C.

    La faille

    Des chercheurs français en sécurité ont découvert une vulnérabilité qui affecte les puces utilisées dans les clés de sécurité matérielles Google Titan et YubiKey. Cette vulnérabilité pourrait permettre aux acteurs malveillants de récupérer la clé de chiffrement primaire utilisée par la clé de sécurité matérielle afin de générer des jetons cryptographiques pour les opérations d'authentification à deux facteurs (2FA). Une fois obtenue, les deux chercheurs en sécurité affirment que la clé de chiffrement, une clé privée ECDSA (Elliptic Curve Digital Signature Algorithm), permettrait aux acteurs malveillants de cloner les clés Titan, YubiKey et d'autres clés pour contourner les procédures d'authentification multifacteurs.

    Dans un rapport, Victor Lomne et Thomas Roche, chercheurs au NinjaLab de Montpellier, ont expliquent les subtilités de l'attaque qui exploite la vulnérabilité identifiée sous le nom de CVE-2021-3011.

    L'attaque ne fonctionne pas à distance contre un appareil, sur Internet ou sur un réseau local. Pour exploiter une clé de sécurité de Google Titan ou de Yubico, un attaquant doit d'abord mettre la main sur la clé de sécurité.

    La faille réside dans l’implémentation d’une ou plusieurs fonctions dans la puce A700X. L’attaque est en outre loin d’être simple : il faut non seulement pouvoir garder la clé pendant au moins dix heures (dont six heures d’analyses minimum), mais le mot de passe du compte protégé est requis lui aussi. Deux conditions complexes qui nécessitent, au bas mot, une proximité physique avec la victime. En outre, il faut au moins 12 000 dollars de matériel.

    Une fois que le boîtier a été ouvert et que les attaquants ont accès à la puce de la clé de sécurité, les chercheurs affirment qu'ils peuvent alors effectuer une « attaque par canal auxiliaire », un terme qui décrit une attaque où des attaquants observent un système informatique de l'extérieur, enregistrent son activité, puis utilisent leurs observations sur l'activité du dispositif pour déduire des détails sur ce qui se passe à l'intérieur.

    Dans le cas d'espèces, les chercheurs ont connecté la clé à un matériel spécifique et son comportement (notamment les radiations électromagnétiques) a été analysé pendant qu’elle essayait de se connecter à un compte. Les chercheurs ont expliqué qu'en étudiant environ 6 000 opérations se déroulant sur le microcontrôleur NXP A7005a, la puce utilisée dans les clés de sécurité de Google Titan, ils ont pu reconstruire la clé de chiffrement ECDSA primaire utilisée pour signer chaque jeton cryptographique généré sur l'appareil.

    Nom : ninja.png Affichages : 2488 Taille : 9,4 Ko

    La clé Titan utilisée était un ancien modèle, avec des composants depuis remplacés par des versions plus récentes. Constat valable aussi pour certains autres modèles testés et vulnérables comme l’ancienne Yubikey Neo. Dans un tweet, NinjaLab note que toutes les clés vendues aujourd’hui par Yubico utilisent des composants plus récents d’Infineon. De même, NXP fournit depuis deux nouvelles générations de puces.

    Néanmoins, l'attaque fait office de piqure de rappel, à savoir : aucune sécurité n’est inviolable.

    Source : rapport des chercheurs, NinjaLab

    Et vous ?

    Utilisez-vous des outils matériels ou logiciels pour protéger vos comptes en plus des mots de passe ?
    Que pensez-vous des clés physiques d'authentification ? Disposez-vous d'une clé d'authentification ou avez-vous l'intention d'en acheter une ?
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités
    Répondre avec citation Répondre avec citation   6  0
  2. 05/09/2024, 17h03 #2
    Stéphane le calme
    Stéphane le calme est déconnecté
    Chroniqueur Actualités
    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    Mars 2013
    Messages
    9 538
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : Mars 2013
    Messages : 9 538
    Par défaut Des chercheurs français ont réussi à cloner une clé de sécurité YubiKey
    Des chercheurs français ont réussi à cloner une clé de sécurité YubiKey grâce à un canal latéral récemment découvert,
    qui nécessite un accès physique aux appareils

    Les YubiKeys, largement utilisées pour l’authentification à deux facteurs (2FA), sont réputées pour leur sécurité robuste. Cependant, une récente découverte a révélé une vulnérabilité critique qui pourrait compromettre cette réputation. Des chercheurs en sécurité ont identifié une faille cryptographique dans les YubiKeys de la série 5, qui permettrait à des attaquants de cloner ces dispositifs. Cette vulnérabilité, connue sous le nom de canal auxiliaire, réside dans un microcontrôleur utilisé dans de nombreux dispositifs d’authentification.

    Le YubiKey 5, le jeton matériel le plus largement utilisé pour l'authentification à deux facteurs basée sur la norme FIDO, contient une faille cryptographique qui rend le dispositif de la taille d'un doigt vulnérable au clonage lorsqu'un attaquant y accède physiquement de manière temporaire, ont déclaré des chercheurs mardi.

    La faille cryptographique, connue sous le nom de canal latéral, réside dans un petit microcontrôleur utilisé dans un grand nombre d'autres dispositifs d'authentification, notamment les cartes à puce utilisées dans le secteur bancaire, les passeports électroniques et l'accès aux zones sécurisées. Si les chercheurs ont confirmé que tous les modèles de la série YubiKey 5 peuvent être clonés, ils n'ont pas testé d'autres dispositifs utilisant le microcontrôleur, tels que le SLE78 fabriqué par Infineon et les microcontrôleurs qui lui ont succédé, connus sous le nom d'Infineon Optiga Trust M et d'Infineon Optiga TPM. Les chercheurs pensent que tout appareil utilisant l'un de ces trois microcontrôleurs et la bibliothèque cryptographique d'Infineon présente la même vulnérabilité.

    Nom : yubi.png Affichages : 146857 Taille : 332,3 Ko

    Il n'est pas possible d'apporter un correctif via une mise à jour du micrologiciel

    Le fabricant de YubiKey, Yubico, a publié un avis en coordination avec un rapport de divulgation détaillé de NinjaLab, l'entreprise de sécurité qui a procédé à l'ingénierie inverse de la série YubiKey 5 et a conçu l'attaque par clonage. Toutes les clés YubiKeys dont le micrologiciel est antérieur à la version 5.7 (qui a été publiée en mai et qui remplace la cryptothèque Infineon par une cryptothèque personnalisée) sont vulnérables. Il n'est pas possible de mettre à jour le micrologiciel de la clé YubiKey. Toutes les clés YubiKey concernées sont donc vulnérables en permanence.

    « Un pirate pourrait exploiter ce problème dans le cadre d'une attaque sophistiquée et ciblée afin de récupérer les clés privées concernées », confirme l'avis. « L'attaquant devrait être en possession physique de la YubiKey, de la Security Key ou du YubiHSM, connaître les comptes qu'il souhaite cibler et disposer d'un équipement spécialisé pour mener à bien l'attaque nécessaire. En fonction du cas d'utilisation, l'attaquant peut également avoir besoin de connaissances supplémentaires, notamment le nom d'utilisateur, le code PIN, le mot de passe du compte ou la clé d'authentification. »

    Comment fonctionne l’attaque

    L’attaque exploite des indices laissés par des manifestations physiques telles que les émanations électromagnétiques, des caches de données ou le temps nécessaire pour accomplir une tâche, autant d'éléments qui laissent s'échapper des secrets cryptographiques. Dans ce cas, le canal auxiliaire est lié au temps pris pour effectuer une inversion modulaire, une opération mathématique essentielle dans l’algorithme de signature numérique à courbe elliptique (ECDSA)

    Les canaux latéraux sont le résultat d'indices laissés dans des manifestations physiques telles que des émanations électromagnétiques, des caches de données ou le temps nécessaire pour accomplir une tâche cryptographique. Dans le cas présent, le canal auxiliaire est lié au temps pris pour effectuer une inversion modulaire, une opération mathématique essentielle dans l’algorithme de signature numérique à courbe elliptique (ECDSA)

    La cryptothèque Infineon n'a pas mis en œuvre une défense courante contre les canaux latéraux, connue sous le nom de temps constant, lorsqu'elle effectue des opérations d'inversion modulaire impliquant l'algorithme de signature numérique à courbe elliptique. Le temps constant garantit que l'exécution des opérations cryptographiques sensibles au temps est uniforme plutôt que variable en fonction des clés spécifiques.

    En utilisant un oscilloscope pour mesurer le rayonnement électromagnétique pendant que le jeton s'authentifie, les chercheurs peuvent détecter de minuscules différences de temps d'exécution qui révèlent la clé ECDSA éphémère d'un jeton, également connue sous le nom de nonce. Une analyse plus poussée permet aux chercheurs d'extraire la clé secrète ECDSA qui sous-tend toute la sécurité du jeton.


    Une attaque qui demande de l'équipement coûteux et des connaissances pointues pour être menée à bien

    Ces attaques nécessitent un équipement d'une valeur d'environ 11 000 dollars et une connaissance approfondie de l'ingénierie électrique et cryptographique. La difficulté de l'attaque signifie qu'elle ne pourrait être menée que par des États-nations ou d'autres entités disposant de ressources comparables, et uniquement dans le cadre de scénarios très ciblés. La probabilité qu'une telle attaque soit utilisée à grande échelle dans la nature est extrêmement faible. Thomas Roche, chercheur au NinjaLab de Montpellier, a précisé que les fonctionnalités d'authentification à deux facteurs et de mot de passe à usage unique ne sont pas affectées, car elles n'utilisent pas la partie vulnérable de la bibliothèque.

    Le rapport publié mardi par NinjaLab décrit le déroulement complet de l'attaque par clonage :
    • L'adversaire vole le login et le mot de passe du compte d'une application de la victime protégée par FIDO (par exemple, par le biais d'une attaque de phishing).
    • L'adversaire obtient un accès physique à l'appareil de la victime pendant une période de temps limitée sans que la victime s'en aperçoive.
    • Grâce au login et au mot de passe volés à la victime (pour un compte d'application donné), l'adversaire envoie la demande d'authentification à l'appareil autant de fois que nécessaire tout en effectuant des mesures de canal latéral.
    • L'adversaire remet discrètement le dispositif FIDO à la victime.
    • L'adversaire effectue une attaque par canal latéral sur les mesures et réussit à extraire la clé privée ECDSA liée au compte d'application de la victime.
    • L'adversaire peut se connecter au compte de l'application de la victime sans le dispositif FIDO et sans que la victime s'en aperçoive. En d'autres termes, l'adversaire a créé un clone du dispositif FIDO pour le compte d'application de la victime. Ce clone donnera accès au compte de l'application tant que l'utilisateur légitime ne révoquera pas ses identifiants d'authentification.

    La liste omet toutefois une étape essentielle, qui consiste à démonter la YubiKey et à exposer la carte logique qu'elle contient. Pour ce faire, il utiliserait probablement un pistolet à air chaud et un scalpel pour retirer le boîtier en plastique de la clé et exposer la partie de la carte logique qui sert d'élément sécurisé stockant les secrets cryptographiques. À partir de là, le pirate connecterait la puce à du matériel et à des logiciels qui prennent des mesures pendant que la clé est utilisée pour authentifier un compte existant. Une fois la prise de mesures terminée, le pirate scelle la puce dans un nouveau boîtier et la rend à la victime.

    Les clés physiques restent parmi les méthodes d'authentification les plus sûres

    L'attaque et la vulnérabilité sous-jacente qui la rend possible sont presque entièrement les mêmes que celles qui ont permis à NinjaLab de cloner les clés Google Titan en 2021. Cette attaque avait nécessité un accès physique au jeton pendant une dizaine d'heures.

    Ces attaques violent une garantie fondamentale des clés conformes à la norme FIDO, à savoir que le matériel cryptographique secret qu'elles stockent ne peut être lu ou copié par aucun autre appareil. Cette garantie est cruciale car les clés FIDO sont utilisées dans divers environnements où la sécurité est essentielle, notamment dans l'armée et les réseaux d'entreprise.

    Cela dit, l'authentification conforme à la norme FIDO est l'une des formes d'authentification les plus robustes, qui n'est pas susceptible de faire l'objet d'un hameçonnage des informations d'identification ou d'attaques de type « adversary-in-the-middle » (adversaire au milieu). Tant que la clé n'est pas entre les mains d'un attaquant hautement qualifié et bien équipé, elle reste l'une des formes d'authentification les plus solides. Il convient également de noter que le clonage du jeton n'est que l'une des deux principales étapes nécessaires pour obtenir un accès non autorisé à un compte ou à un appareil. Un pirate doit également obtenir le mot de passe de l'utilisateur utilisé pour le premier facteur d'authentification. Ces exigences signifient que les clés physiques restent parmi les méthodes d'authentification les plus sûres.

    Pour découvrir le canal latéral, les chercheurs ont procédé à l'ingénierie inverse de la bibliothèque cryptographique d'Infineon, un ensemble de codes fortement fortifiés que le fabricant s'efforce de garder confidentiels. La description détaillée de la bibliothèque devrait intéresser au plus haut point les chercheurs en cryptographie qui analysent son fonctionnement dans d'autres dispositifs de sécurité.

    Les personnes qui souhaitent connaître la version du micrologiciel de leur YubiKey peuvent utiliser l'application Yubico Authenticator. Le coin supérieur gauche de l'écran d'accueil affiche la série et le modèle de la clé. Dans l'exemple ci-dessous, tiré de l'avis de mardi, la YubiKey est une YubiKey 5C NFC version 5.7.0.

    Les YubiKeys offrent des protections optionnelles d'authentification de l'utilisateur, y compris l'exigence d'un code PIN fourni par l'utilisateur ou d'une empreinte digitale ou d'un balayage du visage. Pour que l'attaque par clonage fonctionne contre les YubiKeys utilisant ces mesures supplémentaires, un attaquant devrait également posséder le facteur de vérification de l'utilisateur.

    Conclusion

    Cette découverte souligne l’importance de la vigilance continue en matière de sécurité des dispositifs d’authentification. Bien que les YubiKeys soient considérées comme des outils de sécurité de premier plan, cette faille rappelle que même les technologies les plus avancées peuvent être vulnérables. Les utilisateurs doivent rester informés et prendre les mesures nécessaires pour protéger leurs informations sensibles.

    Source : recherche

    Et vous ?

    Pensez-vous que les dispositifs d’authentification physique comme les YubiKeys sont toujours plus sûrs que les solutions logicielles, malgré cette nouvelle vulnérabilité ? Pourquoi ?
    Comment cette découverte affecte-t-elle votre confiance dans les dispositifs de sécurité physique ? Envisagez-vous de changer vos pratiques de sécurité ?
    Quelles mesures supplémentaires, selon vous, devraient être mises en place par les fabricants de dispositifs de sécurité pour prévenir ce type de vulnérabilité ?
    Estimez-vous que les utilisateurs devraient être mieux informés des risques potentiels liés aux dispositifs de sécurité qu’ils utilisent ? Si oui, comment ?
    Comment gérez-vous l’équilibre entre la commodité et la sécurité dans vos pratiques d’authentification ?
    Pensez-vous que les entreprises devraient offrir des remplacements gratuits pour les dispositifs affectés par des vulnérabilités critiques ? Pourquoi ou pourquoi pas ?
    Quels autres dispositifs ou méthodes d’authentification recommanderiez-vous en tant qu’alternatives aux YubiKeys ?
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités
    Répondre avec citation Répondre avec citation   16  0
  3. 06/09/2024, 11h22 #3
    Jules34
    Jules34 est déconnecté
    Membre très actif
    Homme Profil pro
    Expertise comptable
    Inscrit en
    Décembre 2019
    Messages
    862
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 34
    Localisation : France, Hérault (Languedoc Roussillon)

    Informations professionnelles :
    Activité : Expertise comptable
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Décembre 2019
    Messages : 862
    Par défaut
    Nom : F0msH1XWYAQoIpo.png Affichages : 19683 Taille : 84,8 Ko

    On a pas de pétrole, mais on a toujours des idées !
    Répondre avec citation Répondre avec citation   1  0
ActualitésTUTORIELSFAQsLIVRESTELECHARGEMENTSSOURCESDEBATSWIKIDICOCALENDRIERHUMOUR
« Discussion précédente | Discussion suivante »

Discussions similaires

  1. 94 % des DSI et RSSI ont déjà renoncé à une MàJ de sécurité pour ne pas gêner l'activité de l’entreprise
    Par Bill Fassinou dans le forum Sécurité
    Réponses: 2
    Dernier message: 08/04/2019, 13h15
  2. Des chercheurs japonais mettent au point une technique de colorisation automatique des dessins animés
    Par Olivier Famien dans le forum Actualités
    Réponses: 3
    Dernier message: 30/11/2018, 14h48
  3. Pendant des années, les utilisateurs ont eu droit à une version inférieure de Google sur Firefox mobile
    Par Coriolan dans le forum Firefox
    Réponses: 8
    Dernier message: 27/07/2018, 21h07
  4. La Russie ouvre une enquête antitrust contre Google
    Par Stéphane le calme dans le forum Actualités
    Réponses: 7
    Dernier message: 18/04/2017, 17h20
  5. Des chercheurs corrigent les erreurs d'une IA rien qu'avec la pensée
    Par Coriolan dans le forum Robotique
    Réponses: 5
    Dernier message: 09/03/2017, 23h07

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo