Google remplace des clés de sécurité Titan suite à une faille Bluetooth

Google annonce avoir découvert une faille de sécurité dans l'édition Bluetooth de ses clés de sécurité Titan. La brèche permet à un attaquant à proximité de tromper les utilisateurs pour prendre le contrôle de leur appareil. Suite à sa découverte, la firme de Mountain View a lancé un programme de remplacement des clés affectées. 

En 2018, Google a lancé la Titan Security Key, une clef de sécurité physique qui permet de remplacer les mots de passe envoyés par SMS dans le cadre d'une double authentification. Certaines de ces clefs sont équipées d'une connexion Bluetooth, afin de sécuriser un appareil sans accès physique. D'autres sont de simples clefs USB physiques, à insérer dans le port prévu à cet effet. Google promet ainsi de vous protéger contre “les piratages de compte liés aux attaques par hameçonnage”. Les clés Titan sont commercialisées sur le Google Store américain aux alentours de 50 dollars. Pour le moment, les clés de sécurité ne sont pas proposées sur la boutique française.

Lire aussi : Windows 10 – Microsoft veut remplacer les mots de passe par des clés de sécurité FIDO2

Google découvre une faille de sécurité dans ses clés de sécurité Titan T1 et T2 Bluetooth

Ce mercredi 15 mai 2019, la firme a révélé l'existence d'une faille de sécurité dans l'édition Bluetooth des clés Titan, rapportent nos confrères de CNet. En exploitant un bug dans les protocoles d’appairage Bluetooth, un attaquant situé dans un périmètre de 9 mètres peut s'emparer du nom de votre clé de sécurité. Une fois que c'est fait, le pirate est en mesure de renommer un appareil frauduleux du nom de la clé Titan. L'utilisateur dupé va alors se connecter au périphérique plutôt qu'à la clé. Pour ça, le pirate doit absolument agir “au moment où vous êtes invité à appuyer sur le bouton de votre clé”.

C'est là que le piège se referme : “l'attaquant peut se connecter à votre compte à l'aide de son propre appareil”, met en garde Google dans un billet de blog. Ce n'est pas tout. L'attaquant peut aussi en profiter pour prendre le contrôle de votre appareil en y infectant du code malveillant, précise le communiqué. “Ils peuvent aussi changer leur appareil pour qu'il apparaisse comme un clavier ou une souris Bluetooth” explique le groupe.

Lire aussi : Google, Yahoo – des hackers piratent des milliers de comptes en contournant le système de double authentification

Quoi qu'il en soit, Google conseille toujours d'utiliser la clé dans un environnement isolé, dénué de menaces potentielles. On vous invite donc à ne pas utiliser Titan en Bluetooth si vous êtes dans un café ou dans un centre commercial. Vous ne risquez par contre rien si vous vous servez de la clé dans le confort de votre foyer. Google précise que les clés Titan USB, sans connexion Bluetooth, ne sont évidemment pas concernées.

Comment savoir si ma clé Titan est touchée par la faille ?

Après la découverte de la faille de sécurité, Google a décidé de remplacer les clés Titan Bluetooth. Pour savoir si votre modèle est concerné et peut être remplacé gratuitement par Google, il vous suffit de vérifier s'il y a un «T1» ou un «T2» au dos de la clé. Si c'est le cas, le groupe vous invite à vous rendre sur une page de remplacement dédiée. Si une clé répertoriée dans votre compte Google est affectée, vous pourrez demander un remplacement.

“Les clés de sécurité restent la protection la plus efficace contre le phishing” tempère Google, qui ne souhaite pas que les internautes abandonnent l'authentification à double facteur à cause de cette faille. Votre clé est-elle concernée ? Utilisez-vous les clés Titan pour sécuriser vos comptes ? On attend votre avis sur le sujet dans les commentaires.