Paume faciale : Google a enfin mis en place une option de sauvegarde dans le cloud pour les codes d’accès à usage unique (OTP) stockés dans son application mobile Authenticator. La fonctionnalité peut offrir aux utilisateurs une commodité et une confiance supplémentaires, mais pour le moment, il manque une protection de sécurité critique car ces sauvegardes ne sont pas cryptées.

Alors que les sauvegardes dans le cloud des codes OTP ont été l’un des principaux commentaires des utilisateurs de Google Authenticator au fil des ans, les chercheurs en sécurité demandent auxdits utilisateurs d’éviter d’activer la nouvelle fonctionnalité. Du moins pour le moment, car l’option ne dispose toujours pas de la couche de protection supplémentaire que le chiffrement de bout en bout peut fournir.

Lorsque les utilisateurs synchronisent les « secrets 2FA » avec leur compte Google pour y accéder sur tous les appareils, Google ne crypte pas les codes OTP. Chercheurs à Mysk ont analysé le trafic réseau provenant de l’opération de synchronisation, découvrant que les données envoyées aux serveurs Google ne sont pas chiffrées de bout en bout. Cela signifie que Google peut potentiellement voir les codes secrets des utilisateurs lorsqu’ils sont stockés sur leurs serveurs, ont expliqué les chercheurs.

Mountain View ne fournit aucune fonctionnalité ou phrase secrète supplémentaire pour protéger les sauvegardes OTP. S’il y a une violation de données ou si le compte Google d’un utilisateur est compromis, les chercheurs ont déclaré que « tous vos secrets 2FA seraient également compromis ». Pour cette raison et d’autres, Mysk conseille de ne pas activer l’option de synchronisation cloud dans l’application Authenticator pour le moment.

Le chiffrement de bout en bout est une protection de sécurité qui protège les données transmises contre les écoutes clandestines potentielles ou les modifications malveillantes, garantissant que le message numérique (ou le fichier) peut être consulté dans sa forme originale par l’expéditeur et le destinataire seuls. Les applications d’authentification tierces populaires comme Authy fournissent déjà ce type de communication cryptée, mais Google a clairement d’autres projets pour ses utilisateurs.

Publicité

La société a reconnu l’absence de cryptage E2E dans sa nouvelle fonctionnalité d’authentification de synchronisation dans le cloud, mais elle affirme maintenant que cela a été fait exprès. Bien que le chiffrement E2E offre une protection supplémentaire, Google a dit, il peut également empêcher les utilisateurs d’accéder à leurs propres données s’ils perdent leur mot de passe « maître ». L’option de synchronisation est conçue pour protéger la sécurité et la confidentialité, mais aussi pour être utile et pratique.

Google a déclaré que les données des utilisateurs sont cryptées « en transit et au repos » dans tous les produits de l’entreprise, y compris dans Google Authenticator, ce qui semble contredire ce que les chercheurs de Mysk ont ​​déclaré avoir observé dans des scénarios réels. Quoi qu’il en soit, la société Alphabet promet maintenant qu’une sorte de cryptage E2E finira par arriver à l’application Authenticator. Tôt ou tard.


4.8/5 - (28 votes)
Publicité
Article précédentLes mineurs de données pensent que la collaboration LEGO de Fortnite pourrait arriver plus tard cette année
Article suivantRick et Morty saison 6, épisode 9 en direct : regarder en ligne
Avatar De Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici