Cette page contient les avis EviKey One NFC (version Beta de 2015).

Il s’agit d’informations importantes sur des vulnérabilités susceptibles d’affecter certaines versions de produits EviKey One NFC (version Beta Pro & Premium).

Prenez-en connaissance pour apporter les mesures correctives préconisées. Vous pouvez consulter le bulletin de sécurité des avis en cliquant ICI

Avis de sécurité Première publication Dernière mise à jour
Référence :

  • EKPROANSI842015

Produit concerné :

  • EviKey One NFC Pro & Premium (BETA)

Cible concerné :

  • Firmware & boite noire version 1.0 & 4.2.

Technologie concerné :

  • Paramétrage de la clé sans connexion à une source d’énergie via connecteur USB

Scénario du risque :

Lors de l’utilisation de EviKey One NFC sans qu’elle soit connecté à un port USB. La zone de mémoire tampon accessible par NFC qui est utilisé pour sauvegarder de manière temporaire le code d’accès, peut être accessible dans cette période de transit. Cette zone tampon, est automatiquement effacée dès que la clé est connecté à un port USB.

 

Type de risque identifié :

  • Le risque est nul si EviKey One NFC est utilisé connecté à un port USB. La mémoire tampon est automatiquement effacé en nano second.
  • Le risque est un peu plus élevé, si vous utilisez EviKey One NFC sans être connecté à un port USB. Le risque repose uniquement sur le temps que vous mettez à connecter à un port USB l’EviKey One NFC lorsque vous avez le mot de passe hors connexion à port USB.
  • Il est impossible de différentier par l’aspect extérieur les versions beta 1.0 à 4.2 avec les autres EviKey One NFC qui ont les mêmes boîtier.
  • Pour accéder durant cette période au mot de passe, encore faut-il savoir quand et ou celui-ci a été saisi.
  • Même si le mot de passe est récupérer, pour être utilisé il faut aussi connaître la clé d’appairage unique à chaque EviKey One NFC.
  • Pour la version Pro, le risque est nul, si la fonction mot de passe plus smartphone est activé. Comme nous le conseillons, c’est le mot de passe utilisateur qui doit être utilisé pour déverrouiller EviKey One NFC. Dans ce cas, même si le mot de passe est corrompu, il est inutilisable, sans connaître la clé matériel d’appairage du smartphone.

Préconisation :

  • Utiliser par défaut EviKey One NFC Beta connecté à un port USB
  • A défaut, pensez à connecter rapidement votre EviKey One NFC Beta à un port USB.
  • Utiliser toujours un mot de passe utilisateur quand vous utilisez cette version beta EviKey One NFC

Correctifs matériel ou logiciel :

Il existe très pu de modèle de cette version Beta d’EviKey One NFC. Il n’y a que quelques privilégier qui possède ce collector.
Le principe, de nos innovations est n’avoir aucune porte dérobé, ni de possibilité de mise à jour pour des raisons évidentes de sécurité. Il n’est donc pas possible de réaliser des mises à jour du système embarqué.

Info complémentaire :

Les versions ultérieur embarque un nouveau système de sécurité matériel et logiciel qui permettent d’utiliser les EviKey One NFC Pro et Premium sans avoir besoin de les connecter à un port USB.

 8 avril 2015 12 juin 2017