L’attaque requiert un accès physique aux appareils, mais il est possible de cloner les clés Titan et autres si les attaques réussissent.

Deux chercheurs en sécurité français ont découvert une faille affectant les puces utilisées dans les clés de sécurité matérielles Google Titan et YubiKey. La faille permet aux pirates informatiques de récupérer la clé de chiffrement primaire utilisée par la clé de sécurité matérielle afin de générer des jetons cryptographiques pour les opérations d’authentification à deux facteurs (2FA).

Suite à son obtention, les deux chercheurs en sécurité affirment que la clé de chiffrement, une clé privée ECDSA, permettrait aux pirates de cloner les clés Titan, YubiKey ainsi que d’autres clés permettant de contourner les procédures d’authentification multifacteurs. Cependant, si l’attaque parait catastrophique pour les propriétaires de clés de sécurité de Google et de Yubico, sa gravité reste à modérer. Les chercheurs Victor Lomne et Thomas Roche au NinjaLab de Montpellier expliquent les subtilités de l’attaque, référencée CVE-2021-3011. L’attaque n’est pas fonctionnelle à distance contre un appareil, sur internet ou encore sur un réseau local. Afin d’exploiter une clé de sécurité de Google Titan ou de Tubico, un pirate doit mettre la main sur la clé de sécurité.