Cette page contient des informations importantes sur des vulnérabilités susceptibles d’affecter certaines versions de produits EVIKEY NFC PRO (BETA).
Prenez-en connaissance pour apporter les mesures correctives préconisées.
Bulletins de sécurité
| Avis | Première publication | Dernière mise à jour |
| Référence : EKPROANSI842015 Produit : EVIKEY ONE NFC (BETA) firmware & boite noire version 1.0 & 4.2. Précision sur la mise en oeuvre du déverrouillage de la clé USB EVIKEY NFC Pro hors connexion à un port USB. | 8 avril 2015 | 12/06/2017 |
Avis de sécurité
Précaution d’usage sur la méthode de déverrouillage des clés USB EVIKEY NFC hors connexion à un port USB
Date de publication : 8 avril 2015
Identifiant de vulnérabilité : EKPROANSI842015
Priorité : Concerne uniquement les testeurs EVIKEY NFC en versions BETA
Références CVE : EVIKEY One NFC (Beta) révision 1.0 à 4.2
Fonction concernée : Déverrouillage EVIKEY PRO sans connexion à un port USB
Plates-formes : Androïd
Synthèse
Freemindtronic Lab apporte une précision sur la fonction de déverrouillage de la clé USB par NFC sans qu’il soit besoin qu’elle soit connectée à une source d’alimentation (port USB). Cette fonction doit être utilisée avec une extrême précaution pour les versions BETA jusqu’à la version 4.2. Le mot de passe est automatiquement détruit lorsque votre clé USB EVIKEY NFC est connectée à une source d’énergie fournie par le port USB de votre ordinateur, tablette, smartphone ou batterie de recharge de smartphone.
Évaluation du risque
Il s’agit d’une attaque ciblée qui implique qu’une personne malveillante, très avertie, ait parfaitement connaissance du système technique particulier du NFC de la clé USB EVIKEY, que cette personne soit en possession physique de la clé EVIKEY et qu’elle ait la certitude que l’utilisateur a déverrouillé EVIKEY avec le bon mot de passe sans l’avoir connectée à un port USB. C’est uniquement dans ce cas d’espèce qu’une personne mal intentionnée, avec un équipement NFC adéquat et des compétences en reverse ingénierie sera susceptible de venir lire votre mot passe présent dans un zone de transit en attente d’autodestruction dès son raccordement à une source d’énergie par le port USB.
- Cet avis de précaution ne concerne que les clés EVIKEY One NFC Pro (Beta de la version 1.0 à la version 4.2). En effet, les versions qui ont été commercialisées depuis la version 4.3 possèdent d’autres systèmes embarqués de sécurité brute force qui impliquent notamment une clé d’appairage unique pour accéder au système NFC.
Versions micro logiciel concernées
- (version Beta) firmware de 1.0 à 4.2
Remarque : EVIKEY One NFC Pro version 4.2 & suivant et EVIKEY One NFC Premium ne sont pas concernées par la précaution de sécurité figurant dans ce bulletin.
Solution
Freemindtronic Lab recommande aux utilisateurs de ne pas déverrouiller leur clé EVIKEY sans qu’elle soit connectée à leur ordinateur, tablette, smartphone …
Degré de priorité et de gravité
Freemindtronic Lab attribue à ces mises à jour les priorités suivantes et recommande aux utilisateurs de suivre les conseils d’usage avec les dernières versions des applications :
| Produit | Version | Plate-forme | Priorité | Gravité |
| EVIKEY One NFC PRO (BETA) | 1.0 à 4.2 | Android | 2 | 2 |
Pour en savoir plus sur les degrés de priorité et de gravité en cliquant ICI
Cette procédure d’usage corrige cette vulnérabilité de sécurité.
Veuillez prendre contact avec le service technique de Freemindtronic Lab en cliquant ICI pour signaler l’existence d’une faille de sécurité.
1 thoughts on “Bulletins et avis de sécurité : Evikey NFC”
Les commentaires sont fermés.