Google Authenticator : attention, la synchronisation de vos codes n’est pas très bien protégée
Avec la dernière mise à jour de Google Authenticator est venue la synchronisation des codes de double authentification sur le compte Google. Cependant, cela pose des questions sur le chiffrement de bout en bout : il n'est pas encore disponible, ce qui peut engendrer des problèmes de sécurité.
Il y a quelques jours, Google lançait une mise à jour importante de Google Authenticator, avec l’arrivée d’une fonctionnalité demandée depuis longtemps par ses utilisateurs : la synchronisation des codes d’authentification à deux facteurs avec votre compte Google. Mais pour l’instant, cette synchronisation n’est pas chiffrée de bout en bout.
Une alerte lancée à propos de Google Authenticator : un manque de sécurité certain ?
Comme l’écrit Android Central, l’éditeur de logiciels Mysk a déconseillé à ses utilisateurs d’avoir recours à cette synchronisation des codes. En analysant le trafic réseau durant cette synchronisation, l’entreprise a trouvé que les données en transit n’étaient pas chiffrées de bout en bout. « Cela signifie que Google peut accéder à vos ‘secrets’, probablement même lorsqu’ils sont stockés sur leurs serveurs », écrit Mysk dans un tweet. Le tout sans qu’il ne soit proposé à l’utilisateur d’ajouter une couche de sécurité à la synchronisation, comme un mot de passe.
Google has just updated its 2FA Authenticator app and added a much-needed feature: the ability to sync secrets across devices. TL;DR: Don't turn it on. The new update allows users to sign in with their Google Account and sync 2FA secrets across their iOS and Android devices.… pic.twitter.com/a8hhelupZR — Mysk 🇨🇦🇩🇪 (@mysk_co) April 26, 2023
Si Google venait à subir une cyberattaque, ces données, parce qu’elles sont stockées dans ses serveurs, pourraient être compromises. Les pirates pourraient alors générer de nouveaux codes d’authentification pour se connecter à des comptes qui auraient dû être suffisamment protégés.
Mysk écrit également que Google pourrait utiliser ces données à des fins publicitaires, puisque cela lui permet de connaître les services les plus utilisés (les codes contenant le nom du service et le nom du compte). Mysk recommande donc l’utilisation de Google Authenticator, mais sans la synchronisation des codes.
La réponse de Google : Authenticator va s’améliorer
Pour répondre à cette polémique, le chef de produit de chez Google Christiaan Brand a répondu indirectement à Mysk dans une série de tweets. Il reconnaît l’absence de chiffrement de bout en bout, mais annonce que cette fonctionnalité sera mise en place plus tard, que c’est prévu. L’employé ajoute que Google chiffre les données de toutes ses applications, y compris Google Authenticator.
(1/4) We’re always focused on the safety and security of @Google users, and the newest updates to Google Authenticator was no exception. Our goal is to offer features that protect users, BUT are useful and convenient. — Christiaan Brand (@christiaanbrand) April 26, 2023
Par rapport aux dangers que représente cette nouvelle fonctionnalité, il suggère que la balance bénéfice-risque penche dans le bon sens : « nous pensons que notre produit actuel offre un bon équilibre à la plupart des utilisateurs et qu’il présente des avantages significatifs par rapport à l’utilisation hors-ligne ».
Pour aller plus loin
Comment sécuriser votre smartphone, votre tablette ou votre PC ? Le guide ultime !
Effectivement, cette synchronisation des codes permet d’éviter une éventuelle perte des comptes dans le cas où l’appareil de stockage serait perdu, ou ne fonctionnerait plus. Enfin, cette synchronisation reste facultative.
Envie de rejoindre une communauté de passionnés ? Notre Discord vous accueille, c’est un lieu d’entraide et de passion autour de la tech.
Source: Frandroid