YubiKey est l’une des clés USB sécurisées les plus connues. Elle permet notamment de mettre en place un facteur d’authentification. La faille découverte est très complexe à exploiter. Quoi qu’il en soit, il s’agit d’une faille dans les populaires clés de type FIDO. La faille se situe dans le code utilisé par la bibliothèque de cryptographie Infineon. Ce code ne peut pas être mis à jour.
Pour autant, il ne faut pas (trop) paniquer car l’attaquant doit posséder les identifiants complets et le code PIN pour pouvoir exploiter la faille. Et cela ne concerne pas toutes les gammes.
Une publication complète sur l’attaque sur les YubiKey 5 (en Anglais) : https://ninjalab.io/wp-content/uploads/2024/09/20240903_eucleak.pdf
