Google alerte sur une faille affectant la version BLE (bluetooth low energy) de ses clés de sécurité Titan d’authentification à double facteur disponibles outre-Atlantique et fournit aux utilisateurs la marche à suivre pour prévenir une attaque par phishing et pour récupérer gratuitement une autre clé, non vulnérable. La vulnérabilité vient d’un problème de configuration de la fonction d’appairage bluetooth qui permet à un attaquant situé à proximité de l’utilisateur (dans un rayon d’une dizaine de mètres) de communiquer via la clé avec le terminal auquel elle est appairée. Les dispositifs Titan n’exploitant pas le bluetooth ne sont donc pas concernées explique Google dans un billet.

Les clés antihameçonnage Titan, destinées à des utilisateurs « particulièrement exposés au risque, tels que les administrateurs informatiques », explique Google dans la description du produit sur son site. Elles fonctionnent avec les navigateurs et les services compatibles avec les normes FIDO.

La clé Titan existe en version USB/NFC/Bluetooth (à gauche) et USB/NFC (à droite).

Désactiver l'appairage immédiatement après l'authentification

En dépit de la faille, Google assure qu’il est bien plus sécurisant de continuer à les utiliser tout en expliquant comment minimiser les risques en attendant de recevoir sa nouvelle clé. Il s’agit de conseil de bon sens. Le fournisseur recommande de se servir de sa clé dans un endroit privé pour limiter la probabilité qu’un intrus se trouve dans les parages et de désactiver l’appairage de la clé avec le terminal utilisé immédiatement après s’être connecté sur son compte. Des précisions sont fournies dans son billet pour les utilisateurs de terminaux sous iOS et Android.

Pour vérifier s'ils sont concernés par ce problème, les utilisateurs de clés Titan peuvent vérifier si la mention T1 ou T2 figure au dos de leur clé. Dans ces deux cas, ils sont éligibles au remplacement de leur produit.