Une attaque permet de récupérer les clés de chiffrement des clés Google Titan


Un duo de chercheurs français en sécurité a découvert une vulnérabilité qui affecte les puces utilisées dans les clés de sécurité matérielles Google Titan et YubiKey.


La vulnérabilité permet aux acteurs malveillant de récupérer la clé de chiffrement primaire utilisée par la clé de sécurité matérielle pour générer des jetons cryptographiques pour les opérations d’authentification à deux facteurs (2FA).


Une fois obtenue, les deux chercheurs en sécurité affirment que la clé de chiffrement, une clé privée ECDSA, permettrait aux acteurs malveillant de cloner les clés Titan, YubiKey et d’autres clés pour contourner les procédures d’authentification multifacteurs.


L’attaque nécessite un accès physique


Toutefois, si l’attaque semble désastreuse pour les propriétaires de clés de sécurité de Google et de Yubico, sa gravité reste à modérer.


Dans un rapport PDF de 60 pages, Victor Lomne et Thomas Roche, chercheurs au NinjaLab de Montpellier, expliquent les subtilités de l’attaque, identifiée sous le nom de CVE-2021-3011.


Pour commencer, l’attaque ne fonctionne pas à distance contre un appareil, sur Internet ou sur un réseau local. Pour exploiter une clé de sécurité de Google Titan ou de Yubico, un attaquant doit d’abord mettre la main sur la clé de sécurité.


Voler temporairement puis rendre une clé de sécurité n’est pas impossible et n’est pas en dehors du modèle de menace de nombreux fonctionnaires ou cadres de haut niveau d’aujourd’hui, ce qui signifie que cette attaque ne peut pas être entièrement exclue ou ignorée.


Le boîtier du Titan est difficile à ouvrir et cela laisse des traces


Toutefois, Lomne et Roche soutiennent que les clés Google Titan sont assorties d’autres protections inattendues, sous la forme du boîtier de la clé.


“Le boîtier en plastique est constitué de deux parties fortement collées l’une à l’autre, et il n’est pas facile de les séparer avec un couteau, un cutter ou un scalpel”, ont déclaré les chercheurs.


“Nous avons utilisé un pistolet à air chaud pour ramollir le plastique blanc, et pour pouvoir séparer facilement les deux parties du boîtier avec un scalpel. La procédure est facile à réaliser et, si elle est bien faite, elle permet de garder la carte de circuit imprimé (PCB) en sécurité”, ajoutent les deux hommes.


Cependant, Lomne et Roche soulignent également qu'”une partie du boîtier, ramollie par l’application d’air chaud”, se déforme généralement de manière permanente, laissant les attaquants dans l’impossibilité de reconstituer à l’identique la clé de sécurité une fois qu’ils ont obtenu la clé de chiffrement – à moins qu’ils n’aient préparé un modèle de boîtier imprimé en 3D pour remplacer l’original.


titan-yubico-broken.png


Image : NinjaLab


Une attaque utilisant des radiations électromagnétiques


Mais une fois que le boîtier a été ouvert et que les attaquants ont accès à la puce de la clé de sécurité, les chercheurs affirment qu’ils peuvent alors effectuer une “attaque par canal auxiliaire“.


Ce terme décrit une attaque où des attaquants observent un système informatique de l’extérieur, enregistrent son activité, puis utilisent leurs observations sur l’activité du dispositif pour déduire des détails sur ce qui se passe à l’intérieur.


Dans ce cas de figure, les chercheurs du NinjaLab ont analysé les radiations électromagnétiques provenant de la puce lors du traitement des opérations cryptographiques.


Les chercheurs ont déclaré qu’en étudiant environ 6 000 opérations se déroulant sur le microcontrôleur NXP A7005a, la puce utilisée dans les clés de sécurité de Google Titan, ils ont pu reconstruire la clé de chiffrement ECDSA primaire utilisée pour signer chaque jeton cryptographique généré sur l’appareil.


La bonne nouvelle pour les propriétaires de Titan et de YubiKey est que ce processus prend généralement des heures à exécuter, nécessite du matériel coûteux et des logiciels personnalisés.


titan-yubico-attack-gear.png


Image : NinjaLab


Normalement, ce type d’attaque serait hors de portée des pirates informatiques habituels, mais les chercheurs en sécurité avertissent que certains acteurs malveillants, tels que les agences de renseignement, ont généralement les capacités pour y parvenir.


“Les utilisateurs qui sont confrontés à une telle menace devraient probablement passer à d’autres clés de sécurité matérielles U2F de la FIDO, pour lesquelles aucune vulnérabilité n’a encore été découverte”, ont déclaré les chercheurs.


Qui est vulnérable ?


Les chercheurs ont déclaré avoir testé leur attaque sur la puce NXP A7005a, qui est actuellement utilisée pour les modèles de clés de sécurité suivants :

  • Clé de sécurité Google Titan (toutes les versions)
  • Yubico Yubikey Neo
  • Feitien FIDO NFC USB-A / K9
  • Feitian MultiPass FIDO / K13
  • Feitian ePass FIDO USB-C / K21


  • Feitien FIDO NFC USB-C / K40


En outre, l’attaque fonctionne également sur les puces JavaCard NXP, généralement utilisées pour les cartes à puce, telles que J3A081, J2A081, J3A041, J3D145_M59, J2D145_M59, J3D120_M60, J3D082_M60, J2D120_M60, J2D082_M60, J3D081_M59, J2D081_M59, J3D081_M61, J2D081_M61, J3D081_M59_DF, J3D081_M61_DF, J3E081_M64, J3E081_M66, J2E081_M64, J3E041_M66, J3E016_M66, J3E016_M64, J3E041_M64, J3E145_M64, J3E120_M65, J3E082_M65, J2E145_M64, J2E120_M65, J2E082_M65, J3E081_M64_DF, J3E081_M66_DF, J3E041_M66_DF, J3E016_M66_DF, J3E041_M64_DF, et J3E016_M64_DF.


Contacté par e-mail, Google a rappelé les conclusions de l’équipe de recherche, à savoir que cette attaque est difficile à réaliser dans des circonstances normales.


En outre, Google a ajouté que son service de clés de sécurité est également capable de détecter les clones à l’aide d’une fonctionnalité côté serveur appelée compteurs FIDO U2F, que l’équipe de NinjaLab a également recommandée comme une bonne contre-mesure pour leur attaque dans leur papier. Cependant, l’équipe de recherche souligne également que même si ces compteurs sont utilisés, il y a un court laps de temps après la création du clone où celui ci pourrait être utilisé sans détection par la fonctionnalité.


Néanmoins, en guise de conclusion, les chercheurs français en sécurité ont également exhorté les utilisateurs à continuer d’utiliser les clés de sécurité matérielles U2F de la FIDO, telles que Titan et YubiKey, malgré les conclusions de leur rapport. Les utilisateurs devraient plutôt prendre des précautions pour protéger les dispositifs s’ils pensent qu’ils pourraient être des cibles intéressantes pour les acteurs malveillants disposant de capacités avancées.


Source : “ZDNet.com”



Source link

Is your business effected by Cyber Crime?

If a cyber crime or cyber attack happens to you, you need to respond quickly. Cyber crime in its several formats such as online identity theft, financial fraud, stalking, bullying, hacking, e-mail fraud, email spoofing, invoice fraud, email scams, banking scam, CEO fraud. Cyber fraud can lead to major disruption and financial disasters. Contact Digitpol’s hotlines or respond to us online.

Digitpol’s Cyber Crime Investigation Unit provides investigative support to victims of cyber crimes. Digitpol is available 24/7. https://digitpol.com/cybercrime-investigation/

Europe +31558448040
UK +44 20 8089 9944
ASIA +85239733884