Google annonce le rappel de toutes les versions Bluetooth LE (Low Energy) de sa clé de sécurité Titan commercialisées aux Etats-Unis.  En cause :  la découverte d’un bug susceptible d’être exploité à des fins malveillantes.

Selon les explications du géant californien, le problème est du à une “mauvaise configuration dans les protocoles d’appairage Bluetooth des clés de sécurité Titan”.

Un cyberpirate se trouvant dans le rayon d’action de la connexion Bluetooth pourrait intercepter la communication au moment précis où la victime appuie sur le bouton pour activer la clé et la détourner pour connecter son propre terminal. Il faudrait aussi que l’assaillant se soit procuré l’identifiant et le mot de passe pour pouvoir se connecter au compte de sa cible.

Seule la gamme Titan Bluetooth est impactée

“Ce bug n’affecte que l’appairage Bluetooth, de sorte que les clés de sécurité non-Bluetooth ne sont pas touchées”, assure Google.

Et d’ajouter que le bug ne compromet pas la capacité de la clé à protéger contre le phishing.
“Les utilisateurs actuels des clés de sécurité Bluetooth Titan devraient continuer à utiliser leurs clés existantes en attendant un remplacement.” 

Les clés concernées par la procédure de remplacement portent l’inscription “T1” ou “T2” au dos.

TechCrunch rappelle qu’au moment du lancement des clés Titan en version Bluetooth, certains de ses concurrents parmi lesquels YubiCo, avaient critiqué ce choix technique.

Les Titan Security Key, clés physiques d’authentification à deux facteurs, ont été lancées en août dernier à l’occasion de sa conférence Next ’18.

Google a décliné son offre suivant deux modèles qui sont fournies dans un pack à 50 dollars.Une fois en possession des clés, il suffit de les activer depuis sont compte Google à partir de la page de vérification en deux étapes ou bien d’inscrire au programme de protection avancé.

L’une d’entre elle se connecte en USB et l’autre via le BLE (Bluetooth Low Energy). C’est donc cette dernière qui est impactée par le bug.