YubiKey : signalement selon lequel d’anciens stocks dotés d’un firmware vulnérable seraient toujours vendus
(news.ycombinator.com)- Un signalement indique que d’anciens stocks de YubiKey embarquant un firmware vulnérable à l’attaque EUCLEAK ne sont pas détruits et continuent d’être vendus
- La source invoquée est un témoignage de lecteur sur le blog de Fefe, sans annonce officielle ni confirmation du fabricant
- Dans l’état actuel des informations vérifiables, on en reste au niveau de « vieux stock » et de « firmware vulnérable », sans nom de modèle ni version du firmware
- Le maintien de la vente repose lui aussi sur la formulation « apparently » ; il faut donc y voir davantage des éléments rapportés qu’un fait établi
- Même pour une YubiKey nouvellement achetée, il peut être nécessaire de vérifier séparément la présence d’une vulnérabilité du firmware
Ce que le signalement permet d’établir
- Il est partagé que YubiKey continuerait à vendre d’anciens stocks contenant un firmware vulnérable à l’attaque EUCLEAK
- Ces stocks seraient vendus au lieu d’être détruits
- Comme fondement, il est fait mention d’un témoignage de lecteur publié sur Fefe's Blog
Informations encore manquantes
- Le nom précis du modèle YubiKey, la version du firmware, la région de vente et le canal de distribution ne sont pas fournis
- Aucune position officielle de YubiKey ni information sur d’éventuelles mesures prises n’est incluse
1 commentaires
Commentaire Hacker News
L’annonce de la vulnérabilité des YubiKey a été manquée, mais elle n’a pas d’impact majeur sur le modèle de menace personnel
Certains soulignent que Yubico continue de vendre des clés vulnérables au lieu de les retirer
Des doutes sont exprimés quant à la possibilité de faire confiance à Yubico
Perdre une YubiKey peut compromettre les données
Si Yubico vend ces clés, c’est parce qu’indiquer clairement la version du firmware coûterait cher
Lors de l’achat d’un token de sécurité, les produits avec firmware et matériel open source sont préférés
Nitrokey est recommandé
Certains seraient prêts à acheter d’anciennes YubiKey à prix réduit
Certains clients en étaient à l’étape finale du choix d’un token de sécurité
Lors de l’achat d’une clé Yubico, il est possible de recevoir des e-mails commerciaux passifs-agressifs