Les clés de sécurité physiques Titan de Google sont fabriquées par une entreprise chinoise
Ce qui inquiète des experts du domaine

Le , par Patrick Ruiz, Chroniqueur Actualités
Depuis peu, Google met des clés de sécurité physiques à la vente sur sa boutique en ligne. La firme de Mountain View a chargé une entreprise chinoise de la fabrication des dispositifs Titan utilisés pour la connexion sécurisée à des services en ligne. La manœuvre inquiète des experts du domaine.


À San Francisco lors de sa conférence Next cloud du mois dernier, le géant technologique a procédé à la présentation desdites clés sans nommer le fabricant. Une publication de la CNBC fait état de ce que Google joue ce rôle d’un point de vue légal. Elle mentionne ensuite Feitian comme responsable du volet fabrication des clés dans la pratique. Motherboard rapporte que Google lui a confirmé que Feitian fabrique effectivement les dispositifs de sécurité et que le géant de la Tech ne trouve aucun problème à travailler avec l’entreprise chinoise basée à Beijing.

En début d’année, Google a finalisé avec l’acquisition des activités hardware de HTC. L'acquisition d’une équipe du constructeur taïwanais de smartphones est une indication de la volonté de Google de mettre le paquet sur ses projets de production de son propre hardware. La décision du géant de la Tech de confier la fabrication de ces nouveaux dispositifs de sécurité à une entreprise chinoise est donc aux antipodes de la précédente manœuvre. Bien plus, elle inquiète des experts de la sphère de la cybersécurité.

Ces derniers appellent à plus de transparence autour des clés. « Je crois que ce serait une bonne chose s’ils documentent les processus de leur chaîne d’approvisionnement », déclare Alex Stamos – responsable de la sécurité des systèmes d’information de l’université de Standford. Pour le moment, les clés sont à la vente aux USA et au sein de la communauté de la cybersécurité du pays, il y a des craintes que le gouvernement chinois en tire des bénéfices. « En Chine, la chaîne d’approvisionnement est souvent dictée par la politique gouvernementale », rapporte Motherboard des propos d’un autre expert.


Les experts évoquent la possibilité que le gouvernement chinois force l’entreprise chargée de la fabrication à introduire des portes dérobées au sein des dispositifs. Leur posture est compréhensible quand on se souvient que l’Agence nationale pour la sécurité des États-Unis (NSA) serait parvenue à introduire des backdoors dans des produits de l’équipementier réseau Cisco. En réponse à ces inquiétudes, Google répond que le firmware de la puce qui fournit les clés de sécurité est développé par ses soins et que le chip est scellé avant son acheminement au fabricant.

Cette situation pose le problème plus général de cette dépendance à la Chine. Apple, Samsung, etc. disposent de chaînes de montage sur le sol de l’empire du Milieu. Le problème est connu : il faut minimiser les dépenses en s’appuyant sur une main-d’oeuvre abondante et très peu coûteuse. Seulement, cela se fait avec des risques de compromission de la sécurité des consommateurs desdits produits. Dès son entrée en fonction, Donald Trump a décidé d’attraper le taureau par les cornes en incitant les géants de la Tech étasuniens à construire des usines sur place.

Sources : CNBC, Motherboard

Et vous ?

Qu’en pensez-vous ?

Quelles sont les mesures prises au niveau européen pour s'affranchir de cette dépendance à la Chine ? Quel commentaire faites-vous de ces dernières ?

Voir aussi :

Google va remplacer la vérification en deux étapes par une paire de clés physiques pour renforcer la sécurité de ses services

Google apporte Advanced Protection à son service de messagerie Gmail, un ensemble d'outils pour renforcer la sécurité de votre adresse électronique

Les clés de sécurité physiques, une solution efficace contre les attaques d'hameçonnage ? Oui, d'après le retour d'expérience de Google


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse Signaler un problème

Avatar de onilink_ onilink_ - Membre éclairé https://www.developpez.com
le 02/09/2018 à 17:39
Ils ont pas moyen de vérifier le hardware physiquement, en regardant directement le DIE au microscope électronique ou équivalent?
C'est du taf mais j'imagine qu'ils ont les moyens. Et au moins ils seraient sûr que ce qui devait être gravé a été gravé sans changements.
A moins que les technologies de gravure récentes soient trop complexe à visualiser (j'ai cru comprendre qu'on avait de plus en plus de couches).
Avatar de Stérilux Stérilux - Membre du Club https://www.developpez.com
le 02/09/2018 à 17:59
@onilink_

Il n'y a pas que le multi-couche qui peux poser des problèmes, les fondeurs collent aussi des systèmes pour empêcher l'observation au microscope comme des gilles qu'on retrouve fréquemment sur les circuits pour qu'on ne puisse pas voir le composant même après l'avoir débarrassé de son boitier/enrobage par exemple.
Avatar de onilink_ onilink_ - Membre éclairé https://www.developpez.com
le 02/09/2018 à 20:12
Yep, mais avec le bon matériel on peut les supprimer (genre acide hydrofluorique, extrêmement dangereux).
Si je dis pas de bêtises y a pas mal de compagnies par le passé (peut être encore maintenant) qui étaient spécialisées dans le reverse engineering de puces de silicium.
Je me souviens des puces RFID Mifare vielles génération soit disant sécurisées qui ne l'étaient en fait pas du tout.
Toute leur "sécurité" était juste basé sur le fait que l'attaquant n'était pas sensé connaître l'algorithme utilisé...
Et c'était utilisé par l'armée, les grandes institutions...
Avatar de pierre-y pierre-y - Membre éclairé https://www.developpez.com
le 03/09/2018 à 8:29
Ca protège de google aussi?
Avatar de pboulanger pboulanger - Membre actif https://www.developpez.com
le 03/09/2018 à 9:11
Même si c'était produit aux US, je me méfierais aussi... Les américains ne pratiquent absolument pas l'espionnage et à tous les niveaux...
Avatar de sergio_is_back sergio_is_back - Membre expérimenté https://www.developpez.com
le 03/09/2018 à 12:10
Citation Envoyé par onilink_ Voir le message
Je me souviens des puces RFID Mifare vielles génération soit disant sécurisées qui ne l'étaient en fait pas du tout.
Toute leur "sécurité" était juste basé sur le fait que l'attaquant n'était pas sensé connaître l'algorithme utilisé...
Et c'était utilisé par l'armée, les grandes institutions...
Le MIFARE est toujours très utilisé malgré les failles existantes et dans des sites sensible de surcroit
Avatar de Anselme45 Anselme45 - Membre éclairé https://www.developpez.com
le 03/09/2018 à 13:13
Citation Envoyé par Patrick Ruiz Voir le message
Cette situation pose le problème plus général de cette dépendance à la Chine.
Dépendance à la Chine ou aux USA, peu importe... Ce sont toujours les européens qui sont les dindons de la farce!

Un pays européen a revu il y a quelques années entièrement son infrastructure de communication et a fait le choix de s'équiper en Huawei, un fabricant chinois connu pour être très, très, très proche des services de renseignements chinois.

Des critiques sont apparues mettant en avant le risque chinois. Les services de renseignement du pays en question ont conclu par un commentaire désabusé: "Soit on se fait espionner par les chinois, soit par les américains... Pour l'instant, on a plus à craindre des ricains que des chinois alors Huawei toute!"

La seule et vraie question est de savoir comment les autorités européennes peuvent se vanter d'être une puissance mondiale de 500 millions d'âmes sans avoir la moindre autonomie au niveau des équipements numériques aussi bien hardware que software...
Avatar de yokosano yokosano - Membre régulier https://www.developpez.com
le 03/09/2018 à 18:05
Bonjour à tous,

La norme FIDO existe maintenant depuis quelques années et plusieurs projets OpenSource permettent de se fabriquer un dispositif U2F :


  • Sur support USB :




Une bonne façon de faire des économies et de ne pas dépendre d'un fournisseur fut-il américain, russe ou chinois !
Avatar de yokosano yokosano - Membre régulier https://www.developpez.com
le 04/09/2018 à 10:15
Citation Envoyé par benjani13 Voir le message
L'Universal 2nd Factor (U2F) empêche cela en générant une paire de clés public/privé par site. Aucune forme d'identifiant n'est non plus accessible par le service utilisé. Tout cela est expliqué dans la documentation d'U2F.
Et où sont stockées les clefs secrètes générées sachant que la clef physique a une taille limitée ? Quid de la sécurité si l'on ne maîtrise pas ses clefs privées?
Contacter le responsable de la rubrique Accueil