La vulnérabilité non patchable de la clé d'authentification à deux facteurs Yubico brise la sécurité de la plupart des appareils Yubikey 5, Security Key et YubiHSM 2FA.

Une vulnérabilité de clé d'authentification à deux facteurs Yubico non corrigible a brisé la sécurité de la plupart des appareils Yubikey 5, Security Key et YubiHSM 2FA. La JavaCard Feitian A22 et d'autres appareils utilisant les TPM de la série Infineon SLB96xx sont également vulnérables. Toutes les clés 2FA vulnérables doivent être considérées comme compromises et remplacées par des clés non vulnérables dès que possible.

L'authentification de sécurité à deux facteurs (2FA) utilise un code unique généré par une application logicielle (par exemple Microsoft Authenticator) ou une clé matérielle (par exemple Yubikey) en plus d'un mot de passe pour vous connecter aux comptes en ligne. Un nombre croissant de fournisseurs de comptes, tels que les banques, ont mis en œuvre la sécurité 2FA afin de réduire le vol de données et d'argent.

Les clés d'authentification à deux facteurs dépendent de la génération d'un code unique à l'aide de méthodes difficiles à rétro-ingénierie. Les applications et clés 2FA modernes utilisent souvent des mathématiques plus complexes telles que des algorithmes de courbe elliptique (plongée en profondeur dans les mathématiques sur le site d'IBM).

Les attaques par canal secondaire surveillent certains aspects d'un appareil électronique pour créer une attaque. Pour les puces Infineon TPM vulnérables utilisées dans les clés Yubico, Feitian et autres 2FA, les chercheurs de Ninjalabs ont passé deux ans à capturer et à déchiffrer les émissions radio des puces pour créer une attaque.

Les pirates auraient besoin de jusqu'à une heure d'accès à la clé pour capturer les émissions radio, puis d'un jour ou deux pour déchiffrer les données et créer une copie de la clé 2FA. Les mathématiques et les techniques sont plutôt complexes, donc les lecteurs possédant un savoir-faire en cryptographie, en mathématiques et en électronique peuvent lire les méthodes complexes dans l'article de NinjaLab. NinjaLab a précédemment révélé des vulnérabilités similaires dans d'autres clés Google Titan, Feitian, Yubico et NXP.

Les utilisateurs de clés Yubico 2FA doivent consulter l'avis de sécurité Yubico pour voir si leurs clés sont vulnérables. Les utilisateurs d'autres appareils devront demander aux fabricants si les appareils utilisent des TPM vulnérables de la série Infineon SLB96xx. Les appareils concernés ne peuvent pas être mis à jour pour corriger la vulnérabilité de sécurité.

Tous les propriétaires de clés concernés devraient sérieusement envisager de passer à des alternatives après avoir confirmé que les alternatives ne sont pas vulnérables. Les clés 2FA alternatives incluent Feitian ou iShield.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!