Défaut de sécurisation dans des clés USB… sécurisées

Sur son site Internet, la firme indique que ses clés USB DataTraveler Blackbox, DataTraveler Secure Privacy Editon et DataTraveler Elite Privacy Edition (et seulement ces trois-là) n'étaient pas si sûres que cela. Equipées d'un système de cryptage qui s'active à chaque fois qu'elles sont connectées à un port USB, ces clés sont censées ne pas pouvoir être lues par un tiers. Seul le détenteur du mot de passe peut s'en servir.

Sauf que, comme l'admet Kingston mais sans entrer dans le détail, un utilisateur un peu au fait de ces technologies peut réussir à forcer le système de cryptage et à accéder au contenu des clés même s'il n'y est pas autorisé. Le fabricant conseille donc aux utilisateurs de contacter le support technique correspondant à leur pays (cette alerte est valable pour le monde entier) afin que celui-ci récupère le matériel et procède à une mise à jour.

Petite précision : veillez à bien sauvegarder, avant, les données qui sont sur la clé, car la mise à jour les détruira, et Kingston vous rendra un support vide.

C'est la société allemande spécialisée en sécurité informatique SySS qui a découvert le problème. Et pas seulement chez Kingston : les clés sécurisées SanDisk Cruzer et Verbatim Corporate Secure sont aussi concernées.

Mais, au lieu de renvoyer le produit, ces deux firmes proposent à l'utilisateur de garder sa clé et de procéder lui-même à une mise à jour en ligne, ici pour SanDisk et là pour Verbatim.

C'est le système de cryptage utilisé par les trois marques, AES 256-bits, qui a en fait une faille. Elle se situe au niveau des informations envoyées au système au moment de la saisie du mot de passe. SySS a procédé à des tests et constaté qu'il était assez facile, avec quelques manipulations, de contourner un mot de passe pour accéder au contenu de la clé. Seule contrainte, il faut avoir cette dernière à disposition pour déjouer le cryptage. La faille ne permet pas un accès à distance.