Double authentification : l’offre Titan Security Keys est-elle assez sécurisée ?

Rénald Boulestin,

Sitôt disponibles, sitôt les clés d’authentification Titan Security de Google essuient des critiques dans la mesure où la firme de Mountain View a omis de préciser qu’elles sont fabriquées en Chine.

Google avait profité de sa conférence annuelle Next ’18 pour annoncer ses propres clés physiques d’authentification baptisées Titan en juillet dernier.

Des craintes quant à la Chine

La filiale d’Alphabet les a ensuite commercialisées, via le Google Store US, fin août dernier.

Mais, des experts en sécurité, dont l’ancien directeur de la sécurité des informations de Facebook, s’inquiètent déjà au sujet de ces dispositifs.

Les inquiétudes portent sur le fait que Google a manqué de transparence sur la chaîne de production de ses clés, omettant de préciser qu’elles étaient fabriquées en Chine. C’est effectivement là où le bât blesse.

C’est précisément l’entreprise chinois Felitian qui serait en charge de les produire. D’aucuns estiment que cette société pourrait à tout moment être l’objet de pressions de la part de l’État chinois en vue de pirater ces clés.

Pour Google, pas d’inquiétude à avoir

De son côté, Google a fait la promotion de ses clés en avançant qu’elles embarquent un micrologiciel personnalisé sur l’élément sécurisé qui vérifie l’intégrité physique du périphérique. Il empêche toute manipulation et toute tentative d’extraction du matériel de chiffrement unique sur le périphérique.

Selon Christiaan Brand, responsable du produit au sein de Google Cloud, «les puces matérielles à éléments sécurisés des Titan, scellées en permanence, sont livrées à la ligne de fabrication, ce qui en fait un dispositif de sécurité physique. Ainsi, la confiance relatives aux Titan Security Key est directement liée à cette puce scellée, contrairement à toute autre étape ultérieure qui intervient lors de la fabrication de l’appareil ».

D’autres fabricants, tels que Yubico, procèdent de même. Cela a d’ailleurs pour conséquence indirecte de ne pas pouvoir mettre à jour le micrologiciel de leurs clés.

Google avait aussi été récemment critiqué pour ses liens avec la Chine. La situation pourrait empirer maintenant que Google propose un produit de sécurité fabriqué en Chine.

Début août, le groupe dirigé par Sundar Pichai a en efet été critiqué après que des rapports sur son projet secret de développement d’un moteur de recherche Google correspondant au régime de censure chinois aient été publiés.

Baptisée Dragonfly, l’application de recherche a déjà été présentée aux autorités chinoises et pourrait être lancée d’ici de six à neuf mois, ouvrant la voie au retour de Google dans le pays après son retrait il y a huit ans pour des raisons de liberté d’expression.

(Crédit photo : @Google)