Si vous possédez une clé Titan de Google, ce petit défaut pourrait ruiner vos efforts de sécurisation de données

Publié le 18 avril 2024 à 09h31

Le pack de clés de sécurité Titan de Google promet la fin du mot de passe - © Google

La clé Titan de Google, un pas vers la sécurité renforcée, mais récemment ébranlée par une faille de gestion des données. Un avenir sans mot de passe, finalement remis en question.

Les plus réticents aux supports physiques tels que les clés USB pensent qu'il s'agit d'un outil d'un autre siècle, et leur préfèrent un bon gestionnaire de mots de passe. Pourtant, en matière de sécurité, la clé Titan de Google s'est imposée comme un outil de choix pour ceux qui prennent la protection de leurs données au sérieux. Cette clé physique, intégrant le cryptoprocesseur Titan M, offre la possibilité de stocker jusqu'à 250 clés d'accès.

Mais malgré ses performances et la simplicité de son utilisation, Titan n'est, hélas, pas infaillible. Après avoir été piratée en 2021, c'est un récent rapport qui dévoile un défaut majeur dans la gestion des données. Une faille de taille pour Google qui souhaite mettre un terme à l'ère du mot de passe et de la double authentification grâce à cette clé titanesque.

La clé de sécurité Titan de Google, la voie royale vers la fin du mot de passe

La clé Titan de Google a été conçue pour simplifier la sécurité. En tant que jeton de sécurité physique, elle élimine la nécessité de se souvenir d'une multitude de mots de passe, tout en offrant une couche de sécurité supplémentaire grâce à l'authentification à deux facteurs. Les utilisateurs peuvent ainsi accéder à leurs comptes en toute sécurité, avec la certitude que leurs données sont protégées par un dispositif matériel robuste. La clé Titan est particulièrement populaire parmi les professionnels de la technologie et les entreprises qui cherchent à protéger leurs systèmes contre les intrusions et les fuites de données.

Après l'avoir lancée en 2018 avec un mode Bluetooth, Google a mis à jour le système de la clé de sécurité Titan en 2021, en abandonnant cette technologie au profit du NFC. Désormais, Titan se décline en fait sous la forme d'un pack doté de deux clés distinctes pour tourner sur toutes les machines du marché. La première est équipée d'un connecteur USB-A, tandis que la seconde possède un connecteur USB-C.

Les clés de sécurité Titan fonctionnent comme une barrière supplémentaire à votre mot de passe, offrant une protection contre les attaques de phishing et bloquant l'accès non autorisé à vos comptes en ligne, y compris Gmail, qui subit actuellement une campagne de piratage qui contourne la double authentification. La sécurité Titan est votre bouclier.

Intégrant un firmware développé par Google, les clés de sécurité Titan contrôlent l'authenticité des clés. Elles sont basées sur les normes FIDO® ouvertes, ce qui les rend compatibles avec une vaste sélection d'applications et de services. De plus, elles sont conçues pour fonctionner avec le programme Protection Avancée, la solution de sécurité la plus robuste proposée par Google.

Le Pack Titan Google comprend une clé USB-C/NFC - © Google

Le Pack Titan Google comprend une clé USB-A/NFC - © Google

Un avenir sans mot de passe prôné par Google compromis par une lacune matérielle

Cependant, cette simplicité cache une complexité sous-jacente. Un récent rapport publié sur le site Heise Online (NDLR : site en Allemand avec un accès payant) révèle une lacune qui pourrait bien compromettre les espoirs de Google de mettre fin aux mots de passe : l'absence d'un volet de gestion administrative des mots de passe stockés sur la clé. En effet, une fois un mot de passe enregistré, il devient impossible de le supprimer individuellement sans réinitialiser l'ensemble de la clé aux paramètres d'usine.

Cette limitation constitue un risque pour la gestion des données et la sécurité des utilisateurs, qui pourraient se retrouver avec des mots de passe obsolètes ou compromis irrémédiablement liés à leur clé.

Google a longtemps prôné un avenir sans mot de passe, et la clé Titan en est le fer de lance. En fournissant un moyen physique et tangible de sécuriser l'accès aux comptes, Google espère réduire la dépendance aux mots de passe traditionnels, souvent vulnérables aux attaques de phishing et autres formes de cybercriminalité. Les versions récentes de la clé Titan, équipées de connexions USB-A et USB-C, témoignent de l'engagement de Google à rendre la sécurité multifactorielle plus accessible et plus pratique pour tous les utilisateurs.

Mais si les utilisateurs ne peuvent pas gérer efficacement leurs mots de passe stockés, la confiance dans la clé Titan et dans le concept même d'un avenir sans mot de passe pourrait être émaillée. À l'heure où nous écrivons ces lignes, Google n'a pas publié de mise à jour ni communiqué sur cette faille.

A découvrir

Quelles sont les meilleures clés d’authentification pour sécuriser vos comptes en ligne ?

05 novembre 2021 à 12h28

Comparatif

Sources : Android Police, Store Google, Heise Online

Par Mélina LOUPIA

Modératrice, contributrice et community manager pour le regretté OVNI Le Post, puis journaliste société spécialisée dans la parentalité et la psychologie notamment sur Le HuffPost, l'univers du Web, des réseaux, des machines connectées et de tout ce qui s'écrit sur Internet s'inscrit dans le champ de mes sujets préférés.

Articles de Mélina LOUPIA

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Rejoignez la communauté Clubic

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

Commentaires (10)

Bestdoud

Si la clé est HS ont perd tout nos accès ?

SPH

« Titan », « Titanic »,…
Tout ça prend l’eau !

xeno

Non mais il faut arrêté avec les clés et autre délires.
Pas besoin de clé, il suffit de casser la serrure.

Le genre d’appareil ou ustensible que je trouve dangereux, car je fais comment en cas de perte, j’ai déjà eu le cas avec des clés généré sur un smartphone, et bien c’est compliqué ensuite en cas de changement 'appareil, cela tourne vite au cauchemar pour l’utilisateur

Pretarian

je ne sais pas si ça viens de moi, mais j’ai l’impression que cet article a été écrit en partie par une IA. Serait-il possible de préciser si c’est le cas ou pas ?

Baxter_X

Ca a ete exactement mon impression aussi. Une IA ou une traduction automatique.

MattS32

Tu peux définir plusieurs moyens pour l’authentification à deux facteurs, de sorte que si l’un des moyens tombe en rade, tu en as un ou plusieurs autres disponibles.

Par exemple mon compte Google, je peux m’y connecter avec une clé physique, un jeton TOTP, une notification sur mon téléphone et ma tablette… Et j’ai également une liste de dix codes de secours imprimés.

Melina_Loupia

Fichtre, ai-je une tête d’iA? Je trouve bien dommage d’avoir à me justifier, mais non, je ne suis pas une IA et j’ai encore moins utilisé les services d’une IA pour rédiger, pas même une virgule, de cet article. Bien entendu, j’ai utilisé des sources différentes, mais uniquement pour croiser et vérifier cette information. IA ou pas, je vous souhaite une très belle journée!

Melina_Loupia

Oh bah après avoir été traitée d’IA, vlatipa que maintenant, je suis un traducteur automatique :). Ma foi, c’est pas si pire. Mais non, je n’ai pas non plus utilisé la traduction automatique pour rédiger cet article. En revanche, je l’ai utilisée à certains passages pour être sûre de comprendre l’information et éviter les idiomes et autres figure de style piégeuses. Vous pouvez m’en vouloir à volonté

Melina_Loupia

Je dirais qu’il faut faire comme si vous l’aviez perdue et suivre les étapes décrites sur la page d’aide de Google: « Se connecter en cas de perte de la clé de sécurité »

MattS32

J’en profite puisque tu lis et répond aux commentaires (ce qui est très fort pour une IA ). Il y a une petite imprécision sur ce point :
« Désormais, Titan se décline en fait sous la forme d’un pack doté de deux clés distinctes pour tourner sur toutes les machines du marché. »

Ce n’est en fait pas un pack, il faut acheter les deux séparément si on veut les deux (et les associer chacune au compte, puisque ce sont deux clés bien distinctes du coup, elles n’ont pas le même identifiant), donc 2x35€.

C’était historiquement pas du tout clair sur le site de Google, j’en connais plus d’un qui ont été déçu de n’en recevoir qu’une, parce qu’effectivement sur la page de base on a une photo des deux clés, avec au-dessus un bouton « Acheter » et 35€ marqué à côté, et on arrivait alors sur une page de mise au panier avec juste des boutons radios ou une drop down pour choisir la version (comme pour les choix de capacité ou de couleur sur les Pixel par exemple), ça sautait pas forcément aux yeux.

Maintenant c’est un peu plus clair, quand on clique sur « Acheter » on a des photos des deux clés bien séparées, avec un bouton « Ajouter au panier » en dessous de chacune.