Yubico rappelle quelques clés de sécurité

Ces dernières années, les clés de sécurité sont devenues de plus en plus populaires en tant que système sûr et pratique pour certifier l’accès sécurisé aux comptes en ligne. Cependant, cette promesse semble avoir été trahie d’abord par Google (trouvé un bug dans les unités bluetooth de la clé de sécurité Titan) et maintenant aussi par Yubico, deux des noms les plus intéressants sur ce front. Le problème n’est pas tant dans le sophisme de la technologie (puisque le sophisme lui-même est inextricablement lié aux mécanismes numériques) que dans le fait que les promesses des deux groupes ont été relativement courtes.

Le problème de proposer des clés de ce type est la nécessité de gagner la confiance des utilisateurs, mais la perdre à nouveau n’est qu’une question de temps. Google a bien résolu son précédent problème en mettant en place un système d’alerte pratique qui a permis le remplacement rapide des unités fallacieuses (nous pouvons certifier la qualité du mécanisme : l’unité en notre possession a été remplacée en quelques jours par un achat avec remboursement sur Amazon). Aujourd’hui, le même défi revient à Yubico, qui semble avoir limité le problème à un niveau plus élevé, sans qu’il soit nécessaire d’impliquer tous les utilisateurs.

Yubico, les détails du rappel

Yubico a en effet initié une procédure de rappel visant à récupérer et remplacer les clés de sécurité utilisées par le gouvernement américain. Le problème est inhérent aux versions de firmware identifiées par les codes 4.4.2 et 4.4.4 utilisés sur la série YubiKey FIPS – tous les autres produits Yubico seraient immunisés contre ce problème. La cryptographie utilisée aurait utilisé un mécanisme cryptographique avec des procédures de randomisation réduites, limitées par rapport au potentiel réel et donc incapables de tenir les promesses de sécurité offertes. En pratique : 80 des 256 bits générés à l’intérieur des clés sont restés constants, réduisant ainsi radicalement la génération aléatoire de la chaîne entière. Compte tenu de ces faits, Yubico n’a pas pu s’empêcher de procéder au rappel, tout en fournissant à tous les utilisateurs un portail de vérification où vous pouvez entrer l’ID de la clé pour obtenir une rétroaction rapide sur le statut de sécurité et toute procédure de remplacement.

Cela signifie que pendant une période indéfinie, des milliers de fonctionnaires du gouvernement ont utilisé des clés non sécuritaires, mettant en danger des informations et des procédures sensibles. Bien que le risque n’était qu’un risque potentiel, la promesse de sécurité dans les clés proposées est beaucoup plus fragile. Yubico, ainsi que Google, ont réagi avec une extrême diligence au problème qui a surgi, anticipant la fuite des nouvelles et faisant le remplacement immédiat. Les deux groupes, ainsi que tout autre groupe intéressé à proposer des solutions similaires, devront toutefois trouver des moyens d’améliorer encore la sécurité tout en maintenant la simplicité actuelle du système.

Pour les clés de sécurité, ce sont des mois importants, car l’enjeu est la concurrence avec les systèmes d’identification par le biais de paramètres biométriques et d’autres processus : la technologie qui pourra le mieux et le plus longtemps s’avérer solide face aux risques externes pourra gagner tous ces marchés importants où la vie privée et la sécurité sont des aspects centraux dans la transition du monde réel à la dimension numérique.

 

Dis bonjour à toi ! J’aimerais vous informer que je vous propose une entreprise qui peut vous donner l’opportunité de gagner la médaille d’argent pour des produits de qualité dans le monde de la haute technologie ! Des produits tels que des casques audio Bose, trottinettes Xiaomi M365 etc… Plus d’infos directement en cliquant ici => http://bit.ly/2WEAlmI

Partager cet article

Laisser un commentaire

OFFRE GRATUITE LIMITEE !

GAGNEZ DE L'ARGENT
AVEC LE HIGH-TECH !

Cliquez sur le lien pour en savoir plus :)
Offre 100% gratuite, aucune obligation d'achat.
close-link