Les clés physiques comme la YubiKey ont longtemps été considérées comme l’une des solutions les plus fiables pour protéger nos comptes en ligne. Elles sont utilisées par des millions de personnes, allant des entreprises aux particuliers, pour ajouter une couche de sécurité supplémentaire via l’authentification à deux facteurs. Mais aujourd’hui, une faille de sécurité troublante a été découverte dans la YubiKey 5, remettant en question sa fiabilité. Une faille qui permettrait aux hackers de cloner la clé et d’accéder à des données sensibles.
Qu’est-ce que la YubiKey ?
Pour ceux qui ne sont pas familiers avec ce dispositif, la YubiKey est un petit objet physique, souvent ressemblant à une clé USB, qui sert de deuxième facteur d’authentification. Plutôt que de simplement entrer un mot de passe pour accéder à un compte, la YubiKey est connectée pour prouver que c’est bien l’utilisateur légitime qui tente de se connecter. C’est une méthode adoptée dans le monde entier par les grandes entreprises, les gouvernements et de plus en plus de particuliers soucieux de leur sécurité en ligne. Son rôle est de prévenir les piratages, même si un mot de passe est compromis.
La faille YubiKey : Une attaque par canal auxiliaire
Le problème découvert par les chercheurs de NinjaLab réside dans une vulnérabilité cryptographique. Cette vulnérabilité, appelée « attaque par canal auxiliaire », permet à un attaquant de cloner une YubiKey. Pour cela, il suffit que l’attaquant ait un accès physique à la clé pendant un court laps de temps. Grâce à des techniques d’analyse des radiations électromagnétiques et à des équipements spécifiques (comme un oscilloscope), les hackers peuvent détecter les minuscules variations de temps lors des opérations cryptographiques de la YubiKey et ainsi déduire les clés secrètes stockées à l’intérieur.
Cette attaque est particulièrement préoccupante car elle cible un dispositif censé être hautement sécurisé. Si la YubiKey est compromise, cela permettrait à un attaquant d’accéder aux comptes protégés par cette clé comme si c’était le véritable utilisateur. Le clonage de la clé rend ensuite possible une connexion sans la YubiKey d’origine, tout en restant indétectable pour la victime. Bien que cette attaque nécessite un matériel coûteux et des connaissances en cryptographie, la simple possibilité que cela soit réalisable pose de sérieuses questions sur la sécurité de ces dispositifs.
Le plus alarmant est qu’il n’existe pas de correctif pour les YubiKeys déjà en circulation. Le firmware des clés affectées ne peut pas être mis à jour, ce qui signifie que les modèles vulnérables doivent être remplacés. Seuls les modèles postérieurs à la version 5.7, qui intègrent une nouvelle bibliothèque cryptographique, ne sont plus affectés par cette vulnérabilité. Pour ceux qui utilisent des YubiKeys antérieures, la seule option est de passer à une version plus récente.
Des dispositifs similaires également en danger
La faille ne se limite pas seulement aux YubiKeys. Elle affecte également d’autres dispositifs utilisant les mêmes microcontrôleurs cryptographiques, comme certaines cartes bancaires et passeports électroniques. Les chercheurs soupçonnent que des milliers de dispositifs dans le monde pourraient être vulnérables à cette attaque par canal auxiliaire.
Si vous utilisez une YubiKey affectée, il est impératif de vérifier la version de votre firmware. Si celle-ci est antérieure à la version 5.7, il est conseillé de remplacer la clé. Pour ceux qui utilisent des dispositifs similaires, il est également recommandé de se renseigner auprès des fabricants pour savoir si ces produits sont exposés à la même vulnérabilité. Le simple fait de garder physiquement votre clé en sécurité peut prévenir une attaque, car elle nécessite un accès direct à la YubiKey pour être exploitée.