Pour gérer vos consentements :
Categories: Sécurité

Titan Bluetooth : Google rappelle ses clés de sécurité

Google annonce le rappel de toutes les versions Bluetooth LE (Low Energy) de sa clé de sécurité Titan commercialisées aux Etats-Unis.  En cause :  la découverte d’un bug susceptible d’être exploité à des fins malveillantes.

Selon les explications du géant californien, le problème est du à une “mauvaise configuration dans les protocoles d’appairage Bluetooth des clés de sécurité Titan”.

Un cyberpirate se trouvant dans le rayon d’action de la connexion Bluetooth pourrait intercepter la communication au moment précis où la victime appuie sur le bouton pour activer la clé et la détourner pour connecter son propre terminal. Il faudrait aussi que l’assaillant se soit procuré l’identifiant et le mot de passe pour pouvoir se connecter au compte de sa cible.

Seule la gamme Titan Bluetooth est impactée

“Ce bug n’affecte que l’appairage Bluetooth, de sorte que les clés de sécurité non-Bluetooth ne sont pas touchées”, assure Google.

Et d’ajouter que le bug ne compromet pas la capacité de la clé à protéger contre le phishing.
“Les utilisateurs actuels des clés de sécurité Bluetooth Titan devraient continuer à utiliser leurs clés existantes en attendant un remplacement.” 

Les clés concernées par la procédure de remplacement portent l’inscription “T1” ou “T2” au dos.

TechCrunch rappelle qu’au moment du lancement des clés Titan en version Bluetooth, certains de ses concurrents parmi lesquels YubiCo, avaient critiqué ce choix technique.

Les Titan Security Key, clés physiques d’authentification à deux facteurs, ont été lancées en août dernier à l’occasion de sa conférence Next ’18.

Google a décliné son offre suivant deux modèles qui sont fournies dans un pack à 50 dollars.Une fois en possession des clés, il suffit de les activer depuis sont compte Google à partir de la page de vérification en deux étapes ou bien d’inscrire au programme de protection avancé.

L’une d’entre elle se connecte en USB et l’autre via le BLE (Bluetooth Low Energy). C’est donc cette dernière qui est impactée par le bug.

Crédit photo : @Google

Recent Posts

Typosquatting de dépendances : gare à cette pratique résiduelle

Des chercheurs attirent l'attention sur une campagne de diffusion de code malveillant par l'intermédiaire de…

11 minutes ago

Quels standards pour la cryptographie post-quantique ?

À l'issue d'une procédure de six ans, le NIST a sélectionné quatre algorithmes à standardiser…

2 heures ago

DMA, DSA : une régulation à la hauteur des « Big Tech » ?

Le Parlement européen a définitivement adopté le DMA et le DSA ce 5 juillet. Des…

7 heures ago

DevSecOps : Snyk plie mais ne rompt pas

Snyk rejoint la liste de licornes de la cybersécurité qui réduisent leurs effectifs pour affronter…

23 heures ago

Scribe : les enseignements à tirer de l’échec de ce projet d’État

Un seul logiciel pour la rédaction des procédures entre police et gendarmerie. C'était l'objectif du…

24 heures ago

HackerOne : quand un initié détourne le bug bounty

Un employé de HackerOne aurait exploité à des fins personnelles des rapports de sécurité soumis…

1 jour ago