Vulnérabilité dans une clé USB certifiée FIPS 140-2 niveau 2

Lors d’un audit de sécurité, Objectif Sécurité a évalué une clé USB proposant un stockage sécurisé de son contenu avec une protection d’accès par lecteur biométrique. Les fichiers déposés sur la clé sont chiffrés au niveau matériel avec l’algorithme AES256 et une authentification forte peut être requise pour accéder à ces données. De plus, cette clé est certifiée conforme à la norme FIPS 140-2 niveau 2 éditée par le gouvernement américain et déclarée apte au stockage sécurisé de certificat digital de contrôle d’accès par un organisme indépendant nord-américain.

Grâce à un important travail de reverse engineering et d’analyse matérielle, Objectif Sécurité a été à même de découvrir une erreur d’implémentation majeure qui lui a permis de récupérer systématiquement une version faiblement hachée du mot de passe nécessaire à déchiffrer tous les documents présents sur ce type de clé. Le constructeur de la clé a été contacté à propos de cette vulnérabilité et a pu fournir une mise à jour de sécurité à ses clients.