Vulnérabilité pour des clés USB... sécurisées

Le par  |  4 commentaire(s)
kingston-technology-datatraveler-blackbox

La découverte d'une faille de sécurité contraint Kingston à rappeler certains modèles de ses clés USB ultra sécurisées. Des produits SanDisk et Verbatim sont aussi affectés.

kingston-technology-datatraveler-blackboxDans la gamme de clés USB DataTraveler, que propose notamment en Europe Kingston Technology,  plusieurs modèles bénéficient d'un haut niveau de sécurité via un système de chiffrement matériel AES 256 bits.

C'est le cas des modèles DataTraveler BlackBox ( DTBB ), DataTraveler Secure - Privacy Edition ( DTSP ) et DataTraveler Elite - Privacy Edition ( DTEP ). Ces trois modèles, et uniquement eux, sont toutefois sujets à une vulnérabilité de sécurité qui contraint Kingston Technology à procéder à un rappel.

Sur son site, Kingston indique qu'un individu expérimenté disposant des outils adéquats et ayant un accès physique à la clé USB, peut parvenir à jeter un regard non autorisé sur les données stockées. Pas plus de détails, mais le problème est suffisamment sérieux pour que Kingston sonne le rappel afin de procéder à une mise à jour en usine.

The H Security nous apprend que les clés USB sécurisées de Kingston ne sont pas les seules à souffrir de cette vulnérabilité. Elle touche également des produits SanDisk et Verbatim ( pas forcément disponibles en Europe ). Tous ont pourtant reçu la certification FIPS ( Federal Information Processing Standard ) 140-2 délivrée par l'organisme américain NIST ( National Institute of Standards and Testing ).

La faille a été découverte pas la société allemande SySS et est liée au mécanisme d'entrée d'un mot de passe. Suite à une authentification valide, SySS a constaté que quel que soit ce mot de passe, c'est toujours une même chaîne de caractères que l'application Windows fait parvenir au module de la clé USB, après avoir exécuté plusieurs opérations de chiffrement. SySS a ainsi écrit un petit utilitaire qui exploite cette faille.

Il est à noter que contrairement à Kingston, SanDisk et Verbatim ne demandent pas le retour des produits vulnérables, mais proposent une mise à jour logicielle à télécharger.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #571571
Je vire très rapidement ces cochonneries qui utilisent des partitions cachées par le firmware pour les modules d'installation. Que ce soit ma derniere sandisk cruzer ou mon WD "My Passport", même combat !

Autant chiffrer en amont les fichiers avec un algo connu avec implémentation éprouvée et SURTOUT avoir la clef asymétrique de chiffrement sur un autre support.
Le #571591
Comme quoi tout systéme a ses failles.

Pourquoi kingston ne propose pas un système de mise à jour perso plutôt qu'un rapatriement en usine toujours assez chiant et que personne ne prend le courage de faire ?
Le #571821
retourner des clefs c'est , pourquoi ne pas procéder à une mise a jour sous forme de flash ?
le chiffrement sur clef, on peut le faire soit-même cela dit. les logiciels existent en libre.
De toute manière quand un constructeur propose du chiffrement sur un matériel, il est obligé de communiquer une clef "universelle" de déchiffrement aux états. Il y a toujours un backdoor pour la police, les douanes donc autant le faire soit-même encore une fois.
ça doit être le motif pour retourner ces clefs, faire des trucs obscures ou pire récupérer des données par des techos indélicats et réinstaller un nouveau backoor qu'ils ne peuvent proposer par téléchargement de peur qu'un gars tombe dessus.De toute manière des qu'il y a fuite ou bugs, la majorité du temps c'est du à une implémentation louche, je ne parle pas ici des dépassements de tampons.
rhho les vilains !
Le #572171
... et l'ornithorynque mange du foie gras à coup de scalpel dans un assiette Microsoft certifiée Linux Ready avec un rafraichissement de 1µs en ultraviolet avec lunette 3D open-source.

Plus sérieusement : "Suite à une authentification valide, SySS a constaté que quel que soit ce mot de passe, c'est toujours une même chaîne de caractères que l'application Windows fait parvenir au module de la clé USB"
Ca veut dire que c'est le logiciel qui gère l'authentification et les données ne sont en fait cryptées qu'avec une clé identique à tous les produits ?
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]