La YubiKey, bien qu’efficace pour l’authentification sécurisée, présente des vulnérabilités qui méritent une attention particulière. Des chercheurs ont récemment mis en lumière une faille dans la série YubiKey 5, posant des questions sur la sécurité des dispositifs d’authentification matériels. Cette analyse dévoile les implications de cette découverte et les recommandations pour les utilisateurs.
Remise en contexte : La YubiKey est une clé de sécurité hardware qui simplifie l’authentification à deux facteurs. Au lieu de recevoir des codes par SMs ou via une application, les utilisateurs appuient simplement sur la YubiKey lorsqu’ils se connectent à des comptes, des applications ou des services qui nécessitent une authentification à deux facteurs. Cela ajoute une couche de sécurité supplémentaire au-delà d’un simple mot de passe. Cependant, comme les chercheurs l’ont désormais démontré, l’appareil n’est pas infaillible.
Des chercheurs ont découvert une faille cryptomonnaie dans la série YubiKey 5, largement adoptée. Cette faille, connue sous le nom de vulnérabilité par canal auxiliaire, rend l’appareil vulnérable au clonage si un attaquant obtient un accès physique temporaire.
La vulnérabilité a été initialement découverte par la société de cybersécurité NinjaLab, qui a procédé à une rétro-ingénierie de la série YubiKey 5 et mis au point une attaque de clonage. Ils ont découvert que tous les modèles YubiKey exécutant des versions de firmware antérieures à la 5.7 sont sensibles.
Le problème vient d’un microcontrôleur fabriqué par Infineon, connu sous le nom de série SLB96xx TPM. Plus précisément, la bibliothèque cryptomonnaie d’Infineon ne parvient pas à mettre en œuvre une défense cruciale par canal auxiliaire connue sous le nom de « temps constant » lors de certaines opérations mathématiques. Cette erreur permet aux attaquants de détecter des variations subtiles dans les temps d’exécution, ce qui peut révéler les clés cryptomonnaies secrètes de l’appareil. Plus inquiétant encore, cette puce particulière est utilisée dans de nombreux autres dispositifs d’authentification, tels que les cartes à puce.
Tout n’est pas si sombre, cependant Yubico, la société à l’origine des YubiKeys, a déjà publié une mise à jour du firmware (version 5.7) qui remplace la bibliothèque cryptomonnaie vulnérable d’Infineon par une implémentation personnalisée. L’inconvénient est que les appareils YubiKey 5 existants ne peuvent pas être mis à jour avec ce nouveau firmware, ce qui rend toutes les clés affectées vulnérables en permanence.
Cela dit, les propriétaires actuels de YubiKey n’ont pas besoin de se débarrasser de leurs appareils. L’attaque en question nécessite des ressources importantes – environ 11 000 $ d’équipement spécialisé – et une expertise avancée en ingénierie électrique et cryptomonnaie. Elle nécessite également une connaissance des comptes ciblés et des informations potentiellement sensibles telles que les noms d’utilisateur, les codes PIN, les mots de passe des comptes ou les clés d’authentification.
« L’attaquant aurait besoin de posséder physiquement la YubiKey, la clé de sécurité ou le YubiHSM, de connaître les comptes qu’il souhaite cibler et d’un équipement spécialisé pour effectuer l’attaque nécessaire », a noté la société dans son test de sécurité.
Il faut dire que ce n’est pas quelque chose que la plupart des cybercriminels peuvent réaliser. Des attaques ciblées par des États-nations ou des groupes bien financés sont toujours une possibilité, bien qu’extrêmement faible.
Yubico recommande de continuer à les utiliser, car ils restent plus sûrs que de s’appuyer uniquement sur des mots de passe. Cependant, il est conseillé de surveiller toute activité d’authentification suspecte qui pourrait indiquer un appareil cloné.