Lundi, Google Authenticator a lancé la possibilité de synchroniser les codes 2FA avec votre compte Google. Il est apparu depuis que cette fonctionnalité n’est pas chiffrée de bout en bout (E2EE), et Google expliqué pourquoi aujourd’hui.

Chercheurs en sécurité à Mysk hier Il était essentiel que la nouvelle capacité de synchronisation de Google Authenticator ne soit pas cryptée de bout en bout (E2EE) et que, par conséquent, Google pourrait, en théorie, obtenir et répliquer vos codes 2FA.

Cette plainte est valable pour ceux qui sont très soucieux de leur sécurité et ne font pas confiance à Google (ou à un tiers malveillant) pour ne pas accéder aux données des utilisateurs. Ceux qui ont ces préoccupations veulent faire en sorte que personne d’autre qu’eux ne puisse accéder aux codes 2FA en les chiffrant de bout en bout avec une autre clé (ou mot de passe) dont eux seuls connaissent.

Google a expliqué aujourd’hui que l’objectif de la nouvelle fonctionnalité de synchronisation d’Authenticator est « d’offrir des fonctionnalités qui protègent les utilisateurs, MAIS qui sont utiles et pratiques ». Reconnaissant que « E2EE est une fonctionnalité puissante qui offre des protections supplémentaires », l’inconvénient est que les utilisateurs peuvent « se voir exclus de leurs propres données sans récupération » s’ils oublient ou perdent le mot de passe de leur compte Google (ou une couche supplémentaire de sécurité supplémentaire).

Le gestionnaire de mots de passe Google propose aujourd’hui un cryptage sur l’appareil qui « transforme votre appareil en une clé utilisée pour verrouiller vos mots de passe avant qu’ils ne soient enregistrés dans Google Password Manager ». Cependant, « si vous perdez la clé, vous risquez également de perdre vos mots de passe ».

Cela étant dit, Google « prévoit de proposer E2EE pour Google Authenticator sur toute la ligne. » En attendant, cela a rappelé aux utilisateurs qu’ils peuvent continuer à utiliser l’application hors ligne/sans synchronisation du compte Google.

La compagnie a également ajouté aujourd’hui qu’il chiffre les données en transit et au repos pour Authenticator et tous les autres produits Google.

En passant, si vous avez configuré Google Authenticator sur plusieurs appareils, soyez prudent lors de la mise à jour vers la nouvelle version et de l’activation de la synchronisation. Lors de la synchronisation, Google Ne fera pas reconnaître les codes identiques ou les fusionner automatiquement. En conséquence, vous pourriez vous retrouver avec de nombreux doublons.

Pour éviter cela, configurez d’abord la synchronisation sur votre appareil principal, puis supprimez toutes les autres instances de l’application Google Authenticator. Ainsi, lorsque vous réinstallez l’application mise à jour sur des appareils secondaires, elle se synchronisera simplement à partir de votre appareil principal et n’affichera pas les doublons.

Kyle Bradshaw a contribué à ce message