La nouvelle attaque Eucleak permet aux pirates de cloner les clés YubiKey
Les clés YubiKey sont affectées par une faille de sécurité qui rend vulnérable l'appareil au clonage, à condition d'avoir un accès physique. Quels sont les risques ? Peut-on se protéger ? Voici ce qu'il faut savoir.
Les clés de sécurité Yubikey de chez Yubico sont très appréciées par les professionnels, notamment dans le cadre de l'authentification à deux facteurs basés sur une clé matérielle. Au même titre que d'autres clés présentes sur le marché, elles prennent en charge les normes d'authentification FIDO.
Néanmoins, la sécurité de cette méthode d'authentification robuste est fragilisée par une nouvelle faille de sécurité présente dans le micrologiciel de certains modèles de clés YubiKey. Cette vulnérabilité exploitant un canal auxiliaire permet à un attaquant de cloner ces dispositifs ! Ceci pourrait permettre la compromission des comptes protégés par la clé de sécurité clonée.
"Il s'agit d'une vulnérabilité par canal auxiliaire dans l'implémentation de l'ECDSA dans la bibliothèque cryptographique Infineon. Dans YubiKey et YubiHSM, ECDSA est utilisé pour générer des signatures cryptographiques basées sur des courbes elliptiques.", peut-on lire sur le site de Yubico. Cette vulnérabilité est associée à une attaque surnommée "EUCLEAK" par Thomas Roche de NinjaLab, le chercheur en sécurité à l'origine de cette découverte. Au passage, NinjaLab est une société française basée à Montpellier.
Il est indispensable de préciser que l'attaque nécessite un accès physique à la clé de sécurité YubiKey, ainsi qu'un équipement spécialisé et d'excellentes connaissances en électronique et en cryptographie. Les attaques nécessitent un équipement d'une valeur d'environ 11 000 dollars.
Autrement dit, l'exploitation de cette vulnérabilité nécessite des moyens non négligeables. Si elle venait à être exploitée, il y a de fortes chances que ce soit uniquement dans des attaques ciblées et financées par des États, notamment dans le cadre de campagne d'espionnage.
Quels sont les modèles affectés ? Peut-on se protéger ?
Plusieurs produits de chez Yubico sont vulnérables à l'attaque EUCLEAK, dont la très populaire série de clés YubiKey 5. En fait, tout dépend de la version de firmware utilisé par la clé de sécurité. Voici la liste complète des produits affectés :
- YubiKey 5 Series - Versions antérieures à 5.7
- YubiKey 5 FIPS Series - Versions antérieures à 5.7
- YubiKey 5 CSPN Series - Versions antérieures à 5.7
- YubiKey Bio Series - Versions antérieures à 5.7.2
- Tous les produits de la série "Security Key" - Versions antérieures à 5.7
- YubiHSM 2 - Versions antérieures à 2.4.0
- YubiHSM 2 FIPS - Versions antérieures à 2.4.0
Vous l'aurez compris, les versions de firmware les plus récentes ne sont pas vulnérables à cette attaque. Donc, la question que tous les utilisateurs vont se poser est la suivante : comment mettre à jour le firmware d'une YubiKey ? La réponse va vous décevoir, mais c'est pourtant la réalité : il n'est pas possible de mettre à jour le firmware. La clé de sécurité est livrée avec un firmware et une fois qu'il est programmé, il ne peut pas être modifié.
Il faut se rassurer par le fait que cette attaque est très difficile à mettre en œuvre. Si elle venait à être réellement exploitée, ce devrait être dans des attaques ciblées et sophistiquées.