Titan est le nom donné par Google à sa famille de clés de sécurité matérielles fournissant une authentification à deux facteurs (2FA) aux internautes.
Lancées en juillet 2018, elles offrent un niveau d’authentification physique qui complète les mots de passe au niveau des sites web. Google fournit la clé Titan pour accéder à vos comptes Google, mais vous pouvez également l’utiliser avec d’autres comptes prenant en charge la norme FIDO U2F pour les clés de sécurité matérielles.
Lorsque vous activez la prise en charge des clés matérielles sur un site web, il vous est demandé de présenter votre clé Titan avec votre mot de passe avant de vous autoriser l’accès. Cette étape supplémentaire empêche les cybercriminels ayant volé votre mot de passe d’accéder à votre compte web.
Comment donc utiliser et connecter votre clé Titan ? Il existe deux types de clé : une clé USB que vous connectez à votre ordinateur et une clé Bluetooth qui se connecte sans fil à votre appareil. Ce principe fonctionne avec les ordinateurs et avec votre smartphone, offrant ainsi aux utilisateurs mobiles une protection supplémentaire pour leurs comptes web.
Le problème réside dans la clé Bluetooth, et en particulier dans la mise en œuvre du Bluetooth Low Energy (BLE). Il s’agit du protocole qu’elle utilise pour communiquer sans fil avec le périphérique auprès duquel elle s’authentifie.
En fonctionnement normal, vous devez d’abord enregistrer votre clé Titan compatible BLE auprès du service web que vous utilisez, générant ainsi une donnée confidentielle qui est stockée sur la clé.
Chaque fois que vous souhaitez accéder au service web en question, vous entrez votre nom d’utilisateur et votre mot de passe comme vous le feriez normalement, mais le site vous demande également d’utiliser votre clé matérielle. Vous appuyez sur un bouton au niveau de votre clé Titan. La clé utilise le BLE pour se connecter à votre ordinateur ou à votre appareil mobile et lui envoyer la donnée confidentielle. Le navigateur de votre appareil envoie ensuite cette donnée secrète au service web, qui vérifie alors votre légitimité.
Jusqu’ici tout va bien !
Le problème, cependant, est que Google a mal configuré l’implémentation du BLE et que celle-ci n’était pas suffisamment sécurisée. Elle permettrait une attaque de type “Man in the Middle” (MiTM), au cours de laquelle un individu pourrait se placer entre votre clé Titan et le périphérique avec lequel elle tente de communiquer. Cette personne pourrait alors intercepter les communications en provenance de la clé et les utiliser pour se connecter à votre place.
Heureusement, l’attaque ne peut pas être lancée de l’autre côté de la planète : un attaquant doit être à une dizaine de mètres, doit lancer son attaque au moment où vous appuyez sur le bouton de votre clé Titan, et a besoin de connaître au préalable votre nom d’utilisateur et votre mot de passe.
Par exemple, n’importe qui dans le même café que vous, satisfait automatiquement les deux premières conditions. Ce type d’attaque est donc certainement possible.
Ce problème concerne uniquement les clés de sécurité compatibles Bluetooth, pas celles que vous connectez à un port USB. Pour résoudre ce problème, Google a rappelé les clés concernées et proposé un remplacement gratuit.
L’entreprise a également souligné que malgré cette faille de sécurité, ces clés de sécurité Titan étaient des solutions toujours plus sécurisées que la simple utilisation de votre mot de passe pour accéder à des services en ligne :
Il est toujours plus sûr d’utiliser une clé présentant ce problème plutôt que de désactiver la vérification en 2 étapes basée sur la clé de sécurité (2SV) au niveau de votre compte Google ou de passer par une méthode moins résistante au phishing (codes SMS ou invites envoyées sur votre appareil, par exemple).
Google a créé sa propre clé Titan plutôt que de développer un partenariat avec le fabricant de clés Yubico, qui a créé le standard U2F avec Google en 2014. Yubico a pesé sur le choix du Bluetooth fait par Google l’année dernière en déclarant :
Alors que Yubico avait précédemment initié le développement d’une clé de sécurité BLE et contribué aux travaux sur les normes BLE U2F, nous avons décidé de ne pas lancer le produit, car il ne répond pas à nos normes en matière de sécurité, de convivialité et de longévité. BLE ne fournit pas les niveaux d’assurance en matière de sécurité des technologies NFC et USB, et nécessite des batteries et un jumelage qui au final offre une expérience utilisateur assez médiocre.
Cette faille de sécurité concernant la clé Bluetooth de Google renforce l’argument de Yubico. De plus, cet incident n’aide pas à la promotion du concept de clé matérielle en général.
Billet inspiré de Google recalls Titan Bluetooth keys after finding security flaw, sur Sophos nakedsecurity.