Google demande aux utilisateurs de Chromebook de réinitialiser leurs clés de sécurité internes
L’invention de l’ authentification à deux facteurs (2FA) a été rendue nécessaire par les défauts inhérents au système traditionnel de noms d’utilisateur et de mots de passe. Les experts en sécurité préconisent son utilisation depuis des années, et à cause des éloges constants, certaines personnes sont tentées de penser q en activant 2FA, elles ont pratiquement éliminé toute possibilité de prise de contrôle de compte. est pourquoi ils activent 2FA et accordent beaucoup moins attention à leurs mots de passe.
Ces utilisateurs ont tendance à oublier, cependant, que si 2FA échoue, le mot de passe humble est la seule chose qui protège leurs données. Et une vulnérabilité de Chromebook récemment révélée par Google fournit une preuve supplémentaire que 2FA peut échouer. Avant entrer dans les détails, nous devons voir comment fonctionne le système 2FA en question.
Table of Contents
Certains Chromebooks sont livrés avec les systèmes 2FA intégrés
Comme vous le savez probablement, 2FA peut être mis en œuvre de différentes manières. Les experts considèrent que les systèmes tournant autour de la norme U2F sont les plus sûrs, car le deuxième facteur repose souvent sur un jeton matériel qui ne peut pas être piraté sur Internet. De plus, à intérieur, des algorithmes cryptographiques complexes génèrent des clés spéciales qui offrent beaucoup plus de sécurité par rapport aux codes envoyés via des messages texte ou des mots de passe temporaires.
Il y a un peu plus un an, Google a décidé de mettre en œuvre un système 2FA similaire dans ses Chromebooks. La différence était que cela éliminait les jetons matériels supplémentaires. Au lieu de cela, tout ce que vous devez faire pour activer le deuxième facteur consiste à appuyer sur le bouton alimentation du Chromebook. Initialement, le système était disponible que sur les Pixelbooks de Google, mais après un certain temps, autres fabricants ont commencé à utiliser des puces qui le permettaient également sur leur matériel. Google appelle la technologie "clé de sécurité intégrée", et il est catégorique q elle est encore en phase de test. De toute évidence, il y a des problèmes à résoudre.
Une faille dans implémentation 2FA de Google met les clés de sécurité en péril
Au cœur du système vulnérable 2FA se trouve un algorithme de signature numérique à courbe elliptique (ECDSA), censé générer des valeurs secrètes aléatoires. Ces valeurs fonctionnent avec des signatures cryptographiques enregistrées avec le service en ligne pour générer les clés qui fournissent le deuxième facteur.
équipe de sécurité de Google a découvert q en raison une implémentation incorrecte de ECDSA, les valeurs générées avaient une entropie beaucoup plus faible que prévu. Cela signifiait q un attaquant pouvait deviner quelles étaient ces valeurs et, à aide de signatures volées, calculer la clé très importante, en neutralisant le deuxième facteur sans avoir accès au Chromebook de la victime.
Il faut dire que tout le monde ne peut pas réussir une telle attaque. Tout d’abord, les pirates doivent obtenir la bonne signature, généralement transmise sur HTTPS et difficile à intercepter.. Ensuite, ils devront comprendre le fonctionnement de la génération vulnérable ECDSA et calculer les valeurs exactes qui les mèneront éventuellement à la clé.
La vulnérabilité a déjà été corrigée
Malgré le fait q une attaque ne semble pas très probable pour la plupart des gens, Google a agi comme il fallait et a corrigé la faille de sécurité. La version 75 de Chrome OS est livrée avec un correctif. Les utilisateurs de Chromebook (en particulier ceux qui possèdent des ordinateurs portables répertoriés dans la section "Appareils concernés" de Google ) doivent assurer q il est bien installé. Les personnes ayant utilisé le système vulnérable 2FA doivent également tenir compte des alertes diffusées par le système exploitation et remplacer leurs signatures enregistrées par de nouvelles.
Une chose que les gens ne doivent pas faire, est désactiver 2FA en raison de vulnérabilités telles que celle décrite ci-dessus. Oui, il arrive parfois q il agisse pas aussi bien q il le devrait, mais même la mise en œuvre moins sécurisée ajoute une couche de protection qui existerait tout simplement pas. oubliez toutefois pas que le premier facteur est tout aussi important que le second.