kingston-technology-datatraveler-blackbox Dans la gamme de clés USB DataTraveler, que propose notamment en Europe Kingston Technology,  plusieurs modèles bénéficient d'un haut niveau de sécurité via un système de chiffrement matériel AES 256 bits.

C'est le cas des modèles DataTraveler BlackBox ( DTBB ), DataTraveler Secure - Privacy Edition ( DTSP ) et DataTraveler Elite - Privacy Edition ( DTEP ). Ces trois modèles, et uniquement eux, sont toutefois sujets à une vulnérabilité de sécurité qui contraint Kingston Technology à procéder à un rappel.

Sur son site, Kingston indique qu'un individu expérimenté disposant des outils adéquats et ayant un accès physique à la clé USB, peut parvenir à jeter un regard non autorisé sur les données stockées. Pas plus de détails, mais le problème est suffisamment sérieux pour que Kingston sonne le rappel afin de procéder à une mise à jour en usine.

The H Security nous apprend que les clés USB sécurisées de Kingston ne sont pas les seules à souffrir de cette vulnérabilité. Elle touche également des produits SanDisk et Verbatim ( pas forcément disponibles en Europe ). Tous ont pourtant reçu la certification FIPS ( Federal Information Processing Standard ) 140-2 délivrée par l'organisme américain NIST ( National Institute of Standards and Testing ).

La faille a été découverte pas la société allemande SySS et est liée au mécanisme d'entrée d'un mot de passe. Suite à une authentification valide, SySS a constaté que quel que soit ce mot de passe, c'est toujours une même chaîne de caractères que l'application Windows fait parvenir au module de la clé USB, après avoir exécuté plusieurs opérations de chiffrement. SySS a ainsi écrit un petit utilitaire qui exploite cette faille.

Il est à noter que contrairement à Kingston, SanDisk et Verbatim ne demandent pas le retour des produits vulnérables, mais proposent une mise à jour logicielle à télécharger.