Google annonce avoir découvert une faille de sécurité dans l’édition Bluetooth de ses clés de sécurité Titan. La brèche permet à un attaquant à proximité de tromper les utilisateurs pour prendre le contrôle de leur appareil. Suite à sa découverte, la firme de Mountain View a lancé un programme de remplacement des clés affectées. 

google clé titan faille bluetooth

En 2018, Google a lancé la Titan Security Key, une clef de sécurité physique qui permet de remplacer les mots de passe envoyés par SMS dans le cadre d’une double authentification. Certaines de ces clefs sont équipées d’une connexion Bluetooth, afin de sécuriser un appareil sans accès physique. D’autres sont de simples clefs USB physiques, à insérer dans le port prévu à cet effet. Google promet ainsi de vous protéger contre « les piratages de compte liés aux attaques par hameçonnage ». Les clés Titan sont commercialisées sur le Google Store américain aux alentours de 50 dollars. Pour le moment, les clés de sécurité ne sont pas proposées sur la boutique française.

Lire aussi : Windows 10 – Microsoft veut remplacer les mots de passe par des clés de sécurité FIDO2

Google découvre une faille de sécurité dans ses clés de sécurité Titan T1 et T2 Bluetooth

Ce mercredi 15 mai 2019, la firme a révélé l’existence d’une faille de sécurité dans l’édition Bluetooth des clés Titan, rapportent nos confrères de CNet. En exploitant un bug dans les protocoles d’appairage Bluetooth, un attaquant situé dans un périmètre de 9 mètres peut s'emparer du nom de votre clé de sécurité. Une fois que c’est fait, le pirate est en mesure de renommer un appareil frauduleux du nom de la clé Titan. L’utilisateur dupé va alors se connecter au périphérique plutôt qu’à la clé. Pour ça, le pirate doit absolument agir « au moment où vous êtes invité à appuyer sur le bouton de votre clé ».

C’est là que le piège se referme : « l’attaquant peut se connecter à votre compte à l’aide de son propre appareil », met en garde Google dans un billet de blog. Ce n’est pas tout. L’attaquant peut aussi en profiter pour prendre le contrôle de votre appareil en y infectant du code malveillant, précise le communiqué. « Ils peuvent aussi changer leur appareil pour qu’il apparaisse comme un clavier ou une souris Bluetooth » explique le groupe.

Lire aussi : Google, Yahoo – des hackers piratent des milliers de comptes en contournant le système de double authentification

Quoi qu’il en soit, Google conseille toujours d’utiliser la clé dans un environnement isolé, dénué de menaces potentielles. On vous invite donc à ne pas utiliser Titan en Bluetooth si vous êtes dans un café ou dans un centre commercial. Vous ne risquez par contre rien si vous vous servez de la clé dans le confort de votre foyer. Google précise que les clés Titan USB, sans connexion Bluetooth, ne sont évidemment pas concernées.

Comment savoir si ma clé Titan est touchée par la faille ?

Après la découverte de la faille de sécurité, Google a décidé de remplacer les clés Titan Bluetooth. Pour savoir si votre modèle est concerné et peut être remplacé gratuitement par Google, il vous suffit de vérifier s’il y a un «T1» ou un «T2» au dos de la clé. Si c’est le cas, le groupe vous invite à vous rendre sur une page de remplacement dédiée. Si une clé répertoriée dans votre compte Google est affectée, vous pourrez demander un remplacement.

« Les clés de sécurité restent la protection la plus efficace contre le phishing » tempère Google, qui ne souhaite pas que les internautes abandonnent l’authentification à double facteur à cause de cette faille. Votre clé est-elle concernée ? Utilisez-vous les clés Titan pour sécuriser vos comptes ? On attend votre avis sur le sujet dans les commentaires.

google titan clé bluetooth
Réagissez à cet article !
Abonnez-vous gratuitement à la newsletter
Chaque semaine, le meilleur de Phonandroid dans votre boite mail !
Demandez nos derniers articles !
Sécurité : Huawei subirait un million de cyberattaques par jour

D’après le chef de la sécurité de Huawei, l’entreprise repousserait une quantité impressionnante d’attaques informatiques. Des attaques à travers le monde entier, et des autorités américaines qui n’y seraient pas étrangères, selon l’entreprise. Si Huawei doit faire face à l’ire…

WhatsApp : un simple GIF permet de pirater votre smartphone

Une faille découverte dans l’application WhatsApp et qui affecte les smartphones Android permet d’accéder à vos photos privées et autres données personnelles. Il suffit d’un GIF modifié pour exploiter cette vulnérabilité qui vient d’être découverte par un chercheur en sécurité….

Une attaque DDoS rapporte 2,5 millions de dollars à Wikipédia

Vendredi dernier, le site encyclopédique Wikipédia était victime d’une conséquente attaque DDoS (Distributed Denial of Service). Pour limiter les dégâts d’une telle menace, la Wikimedia Foundation vient de recevoir une jolie somme de la part d’un généreux donateur pas si…