Google remplace des clés de sécurité Titan suite à une faille Bluetooth

Google annonce avoir découvert une faille de sécurité dans l’édition Bluetooth de ses clés de sécurité Titan. La brèche permet à un attaquant à proximité de tromper les utilisateurs pour prendre le contrôle de leur appareil. Suite à sa découverte, la firme de Mountain View a lancé un programme de remplacement des clés affectées. 

google clé titan faille bluetooth

En 2018, Google a lancé la Titan Security Key, une clef de sécurité physique qui permet de remplacer les mots de passe envoyés par SMS dans le cadre d’une double authentification. Certaines de ces clefs sont équipées d’une connexion Bluetooth, afin de sécuriser un appareil sans accès physique. D’autres sont de simples clefs USB physiques, à insérer dans le port prévu à cet effet. Google promet ainsi de vous protéger contre « les piratages de compte liés aux attaques par hameçonnage ». Les clés Titan sont commercialisées sur le Google Store américain aux alentours de 50 dollars. Pour le moment, les clés de sécurité ne sont pas proposées sur la boutique française.

Lire aussi : Windows 10 – Microsoft veut remplacer les mots de passe par des clés de sécurité FIDO2

Google découvre une faille de sécurité dans ses clés de sécurité Titan T1 et T2 Bluetooth

Ce mercredi 15 mai 2019, la firme a révélé l’existence d’une faille de sécurité dans l’édition Bluetooth des clés Titan, rapportent nos confrères de CNet. En exploitant un bug dans les protocoles d’appairage Bluetooth, un attaquant situé dans un périmètre de 9 mètres peut s'emparer du nom de votre clé de sécurité. Une fois que c’est fait, le pirate est en mesure de renommer un appareil frauduleux du nom de la clé Titan. L’utilisateur dupé va alors se connecter au périphérique plutôt qu’à la clé. Pour ça, le pirate doit absolument agir « au moment où vous êtes invité à appuyer sur le bouton de votre clé ».

C’est là que le piège se referme : « l’attaquant peut se connecter à votre compte à l’aide de son propre appareil », met en garde Google dans un billet de blog. Ce n’est pas tout. L’attaquant peut aussi en profiter pour prendre le contrôle de votre appareil en y infectant du code malveillant, précise le communiqué. « Ils peuvent aussi changer leur appareil pour qu’il apparaisse comme un clavier ou une souris Bluetooth » explique le groupe.

Lire aussi : Google, Yahoo – des hackers piratent des milliers de comptes en contournant le système de double authentification

Quoi qu’il en soit, Google conseille toujours d’utiliser la clé dans un environnement isolé, dénué de menaces potentielles. On vous invite donc à ne pas utiliser Titan en Bluetooth si vous êtes dans un café ou dans un centre commercial. Vous ne risquez par contre rien si vous vous servez de la clé dans le confort de votre foyer. Google précise que les clés Titan USB, sans connexion Bluetooth, ne sont évidemment pas concernées.

Comment savoir si ma clé Titan est touchée par la faille ?

Après la découverte de la faille de sécurité, Google a décidé de remplacer les clés Titan Bluetooth. Pour savoir si votre modèle est concerné et peut être remplacé gratuitement par Google, il vous suffit de vérifier s’il y a un «T1» ou un «T2» au dos de la clé. Si c’est le cas, le groupe vous invite à vous rendre sur une page de remplacement dédiée. Si une clé répertoriée dans votre compte Google est affectée, vous pourrez demander un remplacement.

« Les clés de sécurité restent la protection la plus efficace contre le phishing » tempère Google, qui ne souhaite pas que les internautes abandonnent l’authentification à double facteur à cause de cette faille. Votre clé est-elle concernée ? Utilisez-vous les clés Titan pour sécuriser vos comptes ? On attend votre avis sur le sujet dans les commentaires.

google titan clé bluetooth

Réagissez à cet article !
Abonnez-vous gratuitement à la newsletter
Chaque semaine, le meilleur de Phonandroid dans votre boite mail !
Demandez nos derniers articles !
Dell : une faille de sécurité permet de pirater ses PC à distance

Un chercheur en sécurité a identifié une faille de sécurité qui touche les PC Dell et plus précisément l’application SupportAssist qui est installée par défaut sur toutes les machines du constructeur. Avec cette faille, les ordinateurs portables et de bureau…

Gare au SMS qui vide votre compte bancaire !

Un SMS frauduleux envoyé par des pirates peut vider votre compte bancaire. Une cliente en a fait les frais en voyant son compte débité de la somme de 6 000 euros. Cette opération, elle affirme ne l’avoir jamais faite. Le…

Voici le top 10 des pires mots de passe

Le top 10 des mots de passe les plus vulnérables au piratage a été dressé par une étude britannique. Pour mettre sur pied cette liste, le National cyber security centre (NCSC) s’est intéressé aux 100 000 mots de passe les plus…

Internet Explorer : Microsoft refuse de corriger une faille de sécurité critique

Internet Explorer est victime d’une nouvelle faille de sécurité critique, rapporte un chercheur en cybersécurité. Malgré les risques encourus par les utilisateurs, Microsoft refuse de proposer un correctif dans les plus brefs délais. Pour forcer la main de la firme, le chercheur a révélé l’existence de…