Posté par Misc (site web personnel) .
Évalué à 7.
Dernière modification le 03 septembre 2024 à 20:59.
Donc l'attaque requiert d'avoir le login / mot de passe de la victime, mais quand tu piques la clé, tu fais une copie au lieu de l'utiliser normalement pour prendre le contrôle du compte que tu vises ?
Je peux comprendre que dans des cas spécifiques, ça soit intéressant mais j'ai pas le sentiment que ça va changer grand chose pour la majorité des gens avec des yubikeys.
tu fais une copie au lieu de l'utiliser normalement pour prendre le contrôle du compte que tu vises ?
Oui, comme dit dans l'article, l'attaquant sera probablement une agence gouvernementale, et là l'intérêt est d'avoir un accès continu et discret (Advanced Persistent Threat) au compte plutôt que de mettre le priori à la porte.
de trouver le scan de tes empreintes dans ta petite fiche ;
Pas sur que ça serve. Le capteur d'une yubikey a l'air d'être un capteur capacitif, donc je doute qu'une photo suffise pour ça.
Et rien n'indique non plus que l'empreinte d'un capteur d'une yubikey soit réutilisable sur une autre yubikey. Je suppose qu'il y a sans doute des variations plus ou moins grandes et que vu qu'elles n'ont pas d'importance dans un cas normal d'utilisation (vu que tu ne change pas le capteur), alors il y a des chances que ça ne marche pas. Dans le cas d'un capteur externe qui doit pouvoir être remplacer sans faire revenir tout le monde (genre, pour rentrer dans un DC), j'imagine qu'il y a une phase de test et de calibrage à l'usine pour assurer ce fonctionnement (et donc que ça coûte plus cher à l'unité). Dans mon souvenir, c'est assez souvent des capteur optique, donc tu as une juste une camera ce qui me semble plus "déterministe".
Ensuite, il y a visiblement plus simple, comme prendre les empreintes qui traînent sur les verres (même si encore une fois, la question est de savoir si c'est utilisable sur le capteur d'une yubikey). Mais ça, c'est facile à tester, il faut une verre en verre, un scotch, un doigt (mais pas un doigt de scotch) et une yubikey.
de se prendre en selfie avec toi sous tous les angles lors de la sortie au Bounga Bounga Night Club du comex pour le face scan.
Alors j'ai pas l'impression qu'il y a une camera sur la Yubikey, donc je suppose que le face scan se passe ailleurs, et il va falloir sans doute faire plus que prendre des selfies, comme voler un pc portable, etc, etc.
Si l'on en croit les manuels de cybersécurité, la priorité absolue est toujours de préserver la vie humaine. Donc oui une menace un peu sérieuse avec un objet contondant, fut-il de piètre facture, doit conduire à la divulgation de l'information convoitée.
Côté meatware, la qualité de l'acier, excellent produit de notre vénérable et brillante sidérurgie ou trompeuse contrefaçon de médiocre ferraille d'origine estrangère, importe finalement assez peu, les terminaisons nerveuses étant peu sensibles au patriotisme économique et à la qualité industrielle.
Pour avoir taté des carte à puce avec empreinte y un moment au taf, deux capteurs ne produisent pas les mêmes résultats, l’enrôlement d'une empreinte prend plusieurs captations. Ça a peut être changé, mais j'imagine que le couple capteur / empruntes stockée est plus ou moins unique.
Après si la carte est clonée, faut voir s'il ne peuvent pas dégagée la sécu biométrique ou la réinitialiser sur le clone.
Normalement c'est sensé être impossible de sortir une info de ce genre de carte, elles sont logiciellement assez éprouvées et physiquement y a des protections (blindage de la circuiterie etc) qui rend la tache compliquée.
Là j'ai pas poussé mais si j'ai bien compris ils attaquent physiquement la carte, et d'une manière ou d'une autre ils arrivent à reconstituer la mémoire de celle ci. Ils semblent utiliser une sonde ICR pour ça.
Joli side channel attaque. J'imagine que cela doit être lié à une activité de la puce plus grande à chaque bit à 1 de la clef, comme à la grande époque des clefs RSA en differential power analysis.
# Mhhh
Posté par Misc (site web personnel) . Évalué à 7. Dernière modification le 03 septembre 2024 à 20:59.
Donc l'attaque requiert d'avoir le login / mot de passe de la victime, mais quand tu piques la clé, tu fais une copie au lieu de l'utiliser normalement pour prendre le contrôle du compte que tu vises ?
Je peux comprendre que dans des cas spécifiques, ça soit intéressant mais j'ai pas le sentiment que ça va changer grand chose pour la majorité des gens avec des yubikeys.
[^] # Re: Mhhh
Posté par cg . Évalué à 6.
Oui, comme dit dans l'article, l'attaquant sera probablement une agence gouvernementale, et là l'intérêt est d'avoir un accès continu et discret (Advanced Persistent Threat) au compte plutôt que de mettre le priori à la porte.
[^] # Re: Mhhh
Posté par devnewton 🍺 (site web personnel) . Évalué à 2.
La solution proposée est d'ajouter un autre facteur (user-supplied PIN code or a fingerprint or face scan)…
On peut supposer que l'agent secret qui a réussi à te piquer la clef dans ta poche trouvera aussi le moyen :
Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.
[^] # Re: Mhhh
Posté par Misc (site web personnel) . Évalué à 4.
Pas sur que ça serve. Le capteur d'une yubikey a l'air d'être un capteur capacitif, donc je doute qu'une photo suffise pour ça.
Et rien n'indique non plus que l'empreinte d'un capteur d'une yubikey soit réutilisable sur une autre yubikey. Je suppose qu'il y a sans doute des variations plus ou moins grandes et que vu qu'elles n'ont pas d'importance dans un cas normal d'utilisation (vu que tu ne change pas le capteur), alors il y a des chances que ça ne marche pas. Dans le cas d'un capteur externe qui doit pouvoir être remplacer sans faire revenir tout le monde (genre, pour rentrer dans un DC), j'imagine qu'il y a une phase de test et de calibrage à l'usine pour assurer ce fonctionnement (et donc que ça coûte plus cher à l'unité). Dans mon souvenir, c'est assez souvent des capteur optique, donc tu as une juste une camera ce qui me semble plus "déterministe".
Ensuite, il y a visiblement plus simple, comme prendre les empreintes qui traînent sur les verres (même si encore une fois, la question est de savoir si c'est utilisable sur le capteur d'une yubikey). Mais ça, c'est facile à tester, il faut une verre en verre, un scotch, un doigt (mais pas un doigt de scotch) et une yubikey.
Alors j'ai pas l'impression qu'il y a une camera sur la Yubikey, donc je suppose que le face scan se passe ailleurs, et il va falloir sans doute faire plus que prendre des selfies, comme voler un pc portable, etc, etc.
[^] # Re: Mhhh
Posté par devnewton 🍺 (site web personnel) . Évalué à 8.
Bref une bonne clef à molette à 5€ pour obliger la victime à révéler les infos, y a que ça de vrai.
Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.
[^] # Re: Mhhh
Posté par Ysabeau 🧶 (site web personnel, Mastodon) . Évalué à 7.
Tu ferais ça à une clé Yubikey ? Barbare !
« Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.
[^] # Re: Mhhh
Posté par cg . Évalué à 3.
Si l'on en croit les manuels de cybersécurité, la priorité absolue est toujours de préserver la vie humaine. Donc oui une menace un peu sérieuse avec un objet contondant, fut-il de piètre facture, doit conduire à la divulgation de l'information convoitée.
[^] # Re: Mhhh
Posté par Benoît Sibaud (site web personnel) . Évalué à 4.
Côté meatware, la qualité de l'acier, excellent produit de notre vénérable et brillante sidérurgie ou trompeuse contrefaçon de médiocre ferraille d'origine estrangère, importe finalement assez peu, les terminaisons nerveuses étant peu sensibles au patriotisme économique et à la qualité industrielle.
[^] # Re: Mhhh
Posté par Aldebaran (site web personnel) . Évalué à 2.
Pour avoir taté des carte à puce avec empreinte y un moment au taf, deux capteurs ne produisent pas les mêmes résultats, l’enrôlement d'une empreinte prend plusieurs captations. Ça a peut être changé, mais j'imagine que le couple capteur / empruntes stockée est plus ou moins unique.
Après si la carte est clonée, faut voir s'il ne peuvent pas dégagée la sécu biométrique ou la réinitialiser sur le clone.
[^] # Re: Mhhh
Posté par Nicolas Boulay (site web personnel) . Évalué à 3. Dernière modification le 05 septembre 2024 à 16:22.
Je croyais que l'on prefère toujours recréé un token, plutôt qu'en transférer un.
En gros, il est normalement impossible de sortir une clef privé d'une carte a puce.
"La première sécurité est la liberté"
[^] # Re: Mhhh
Posté par Aldebaran (site web personnel) . Évalué à 1.
Normalement c'est sensé être impossible de sortir une info de ce genre de carte, elles sont logiciellement assez éprouvées et physiquement y a des protections (blindage de la circuiterie etc) qui rend la tache compliquée.
Là j'ai pas poussé mais si j'ai bien compris ils attaquent physiquement la carte, et d'une manière ou d'une autre ils arrivent à reconstituer la mémoire de celle ci. Ils semblent utiliser une sonde ICR pour ça.
Ensuite ils la clone.
[^] # Re: Mhhh
Posté par Nicolas Boulay (site web personnel) . Évalué à 3.
Joli side channel attaque. J'imagine que cela doit être lié à une activité de la puce plus grande à chaque bit à 1 de la clef, comme à la grande époque des clefs RSA en differential power analysis.
"La première sécurité est la liberté"
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.