Google recommande à ses clients avec des clés physiques de sécurité Titan compatibles Bluetooth Low Energy, marquées T1 ou T2 à l’arrière, de les lui renvoyer pour échange gratuit.

À cause d’une mauvaise configuration du protocole d’appairage de clés de sécurité Titan, il est possible pour un attaquant à 3 mètres ou moins, de communiquer avec la clé, ou avec l’appareil avec laquelle la clé est jumelée.

Pour que cela se produise, il faudrait que l’attaquant se connecte avec son appareil à la clé, ce qui nécessite de connaître l’identifiant et le mot de passe de la victime, juste au moment où cette dernière appuie sur le bouton de sa clé pour l’appairer avec un appareil.

Dans le deuxième scénario, l’attaquant pourrait imiter une clé et se connecter sur l’appareil de la victime au moment où le bouton est pressé. S’il réussit, il pourrait alors convertir l’appareil en clavier ou en souris, pour envoyer des données à l’appareil compromis.

Ces deux cas de figure, pour improbables qu’ils sont, posent un problème de sécurité, d’où l’offre de remplacement gratuit, en se rendant sur google.com/replacemykey.