Une vulnérabilité de sécurité sérieuse a été trouvée dans Nitrokeys, qui affecte directement Dasharo coreboot+Heads. Nous utilisons la Nitrokey 3A Mini comme clé de sécurité USB pour vérifier l’intégrité du processus de démarrage, en combinaison avec le firmware Dasharo coreboot+Heads. Un attaquant ayant accès à la fois à l’ordinateur portable et à la clé de sécurité USB pourrait manipuler le firmware et resceller le HOTP en donnant le prompt n’importe quelle touche, car il accepterait n’importe quel code PIN sur le scellement secret du HOTP.
Solution
NovaCustom reconnaît l’urgence de ce problème et a pris des mesures immédiates. Voici ce qu’il faut faire pour corriger la vulnérabilité sur votre ordinateur portable et Nitrokey.
Créer une sauvegarde
Avant de procéder à une mise à jour du firmware, veuillez toujours vous assurer que vous avez sauvegardé toutes les données importantes de votre disque de stockage et de la Nitrokey.
Mise à jour du firmware de la Nitrokey
Alors qu’une mise à jour du firmware de la Nitrokey a été publiée, notre version actuelle de Heads (v0.9.0) n’est pas encore compatible avec elle. Cela signifie que la Nitrokey 3A Mini ne peut pas être détectée par Heads si la Nitrokey a été mise à jour avec la dernière version du firmware.
Veuillez patienter avec la mise à jour du firmware Nitrokey jusqu’à ce qu’une nouvelle version du firmware Heads soit publiée. Dès que la mise à jour de Heads est disponible, mettez à jour le firmware de votre Nitrokey conformément à la documentation sur la mise à jour du firmware.
Mise à jour du firmware Heads
Mettez à jour votre firmware Heads à la dernière version v0.9.1 à l’aide de la documentation sur la mise à jour du firmware pour Dasharo coreboot+Heads.
Wessel klein Snakenborg (Directeur de NovaCustom)
Les commentaires uniquement en anglais s.v.p.