Lundi, Google Authenticator a lancé la possibilité de synchroniser les codes 2FA avec votre compte Google. Il est apparu depuis que la capacité n’est pas cryptée de bout en bout (E2EE), et Google expliqué pourquoi aujourd’hui.

Chercheurs en sécurité à mysk hier étaient essentiels que la nouvelle capacité de synchronisation de Google Authenticator ne soit pas cryptée de bout en bout (E2EE) et, par conséquent, Google pourrait, théoriquement, obtenir et répliquer vos codes 2FA.

Cette plainte est valable pour ceux qui sont très soucieux de la sécurité et ne font pas confiance à Google (ou à un tiers malveillant) pour ne pas accéder aux données des utilisateurs. Ceux qui ont ces préoccupations veulent faire en sorte que personne d’autre qu’eux ne puisse accéder aux codes 2FA en les cryptant de bout en bout avec une autre clé (ou mot de passe) dont ils sont seuls au courant.

Google a expliqué aujourd’hui que l’objectif de la nouvelle fonctionnalité de synchronisation d’Authenticator est « d’offrir des fonctionnalités qui protègent les utilisateurs, MAIS qui sont utiles et pratiques ». Reconnaissant que « E2EE est une fonctionnalité puissante qui offre des protections supplémentaires », l’inconvénient est que les utilisateurs peuvent « être bloqués sur leurs propres données sans récupération » s’ils oublient ou perdent le mot de passe de leur compte Google (ou une couche supplémentaire de sécurité supplémentaire).

Le gestionnaire de mots de passe Google propose aujourd’hui un chiffrement sur l’appareil qui « transforme votre appareil en une clé utilisée pour verrouiller vos mots de passe avant qu’ils ne soient enregistrés dans Google Password Manager ». Cependant, « si vous perdez la clé, vous risquez également de perdre vos mots de passe ».

Cela étant dit, Google « prévoit d’offrir E2EE pour Google Authenticator sur toute la ligne. » En attendant, il a rappelé aux utilisateurs qu’ils peuvent continuer à utiliser l’application hors ligne/sans synchronisation de compte Google.

La compagnie a également ajouté aujourd’hui qu’il chiffre les données en transit et au repos pour Authenticator et tous les autres produits Google.

Par ailleurs, si vous avez configuré Google Authenticator sur plusieurs appareils, soyez prudent lors de la mise à jour vers la nouvelle version et de l’activation de la synchronisation. Lors de la synchronisation, Google Ne fera pas reconnaître des codes identiques ou les fusionner automatiquement. Vous pourriez vous retrouver avec de nombreux doublons en conséquence.

Pour éviter cela, configurez d’abord la synchronisation sur votre appareil principal, puis supprimez toutes les autres instances de l’application Google Authenticator. Ainsi, lorsque vous réinstallez l’application mise à jour sur des appareils secondaires, elle se synchronisera simplement à partir de votre appareil principal et n’affichera pas les doublons.

Kyle Bradshaw a contribué à ce message