Ouvrir le menu principal

MacGeneration

Recherche

Oups : une faille de sécurité dans la clé d'authentification Titan de Google

Mickaël Bazoge

mercredi 15 mai 2019 à 21:30 • 6

Matériel

Voilà qui est ballot. Google a averti que la version Bluetooth de sa clé de sécurité Titan était touchée par un problème de… sécurité. Une faille qui concerne le protocole d’appairage permet en effet à un malandrin, placé pas trop loin de sa victime, de communiquer avec la clé ou avec l’appareil déverrouillé par la clé.

Les circonstances devront toutefois être bien spécifiques pour que le forban puisse accomplir son forfait. Non seulement il lui faudra être tout près de l’utilisateur (à environ 9 mètres), avoir en sa possession l’identifiant et le mot du passe du compte, mais aussi faire preuve d’un grand sens du timing.

La manipulation doit en effet être effectuée juste avant que l’utilisateur n’appuie sur le bouton de la clé : dans ce laps de temps, le brigand est en mesure de connecter sa machine à la clé. L’autre scénario consiste pour l’assaillant à faire passer sa machine pour la clé de sécurité de sa victime.

La faille touche toutes les versions Bluetooth LE de la clé Titan (T1 et T2). Google, qui conserve toute sa confiance dans ce système d’authentification deux facteurs, se propose de remplacer gratuitement la clé par une version plus robuste. Le moteur de recherche précise que la version USB n’est pas affectée (par ailleurs, la clé Bluetooth à problème n’a été distribuée qu’aux États-Unis).

La clé Bluetooth ne fonctionne plus avec les appareils sous iOS 12.3, comme ça le problème est réglé. En attendant de recevoir le nouveau modèle sécurisé, le moteur de recherche demande de ne pas se désactiver du compte Google, sinon il sera très compliqué de s’identifier avant la nouvelle clé : la fiche technique conseille de créer un nouveau mot de passe temporaire, mais uniquement si l’utilisateur fait partie de l’Advanced Protection Program. Sinon, il faut utiliser un autre appareil que son iPhone, comme un smartphone Android ou un ordinateur classique.

Pour les terminaux sous iOS 12.2 et précédent, Google conseille d’utiliser la clé dans un lieu sécurisé où des individus inconnus ne peuvent se trouver à moins de 9 mètres. Après la connexion au compte, il faut immédiatement annuler le jumelage avec la clé.

Rejoignez le Club iGen

Soutenez le travail d'une rédaction indépendante.

Rejoignez la plus grande communauté Apple francophone !

S'abonner

Comment regarder les chaînes de télé sur l’Apple TV : toutes les apps et offres disponibles

18:41

• 64


Ces articles du Club iGen passent en accès libre : découvrez nos contenus premium

11:58

• 3


Le grand tapis de souris de Logitech en promo à 8 €

08:34

• 0


« Digital detox » : le bilan de mes vacances (presque) sans iPhone

08:00

• 28


Panne majeure en cours sur les moyens de paiement de nombreuses banques françaises

30/08/2025 à 20:17

• 93


« Le premier iPad protégé contre les liquides » : la déclaration d’Apple qui intrigue

30/08/2025 à 10:24

• 15


L’appel à la grève de la CB (et d’Apple Pay), un risque majeur pour les banques ?

30/08/2025 à 08:06

• 171


iOS 18.6.2 bouche une faille zéro day utilisant WhatsApp pour piéger les utilisateurs

30/08/2025 à 08:04

• 8


À contre-courant : pourquoi Florian n’abandonne pas WhatsApp

30/08/2025 à 08:00

• 77


Gemini lance un mode incognito, pour des conversations jetables

29/08/2025 à 21:00

• 12


my kSuite : une alternative gratuite, souveraine et suisse à Google et Microsoft (et à -80 % si besoin de plus) 📍

29/08/2025 à 20:07

• 0


Agenda, Path Finder, Unite… De bonnes apps Mac à prix cassé

29/08/2025 à 17:05

• 11


Fibre Power S : SFR baisse son offre triple-play à 26,99 €/mois

29/08/2025 à 16:22

• 15


Lenovo cogite sur un portable à écran paysage et portrait

29/08/2025 à 15:49

• 17


MacBook Air M4 en promo à partir de 949 € et 90 € en bons d'achat

29/08/2025 à 14:43

• 6


Guide d'achat : quels accessoires pour accompagner son nouvel iPad à la rentrée

29/08/2025 à 14:42

• 16