Paume faciale : Google a enfin mis en place une option de sauvegarde dans le cloud pour les codes d’accès à usage unique (OTP) stockés dans son application mobile Authenticator. La fonctionnalité peut offrir aux utilisateurs une commodité et une confiance supplémentaires, mais pour le moment, il manque une protection de sécurité critique car ces sauvegardes ne sont pas cryptées.
Alors que les sauvegardes dans le cloud des codes OTP ont été l’un des principaux commentaires des utilisateurs de Google Authenticator au fil des ans, les chercheurs en sécurité demandent auxdits utilisateurs d’éviter d’activer la nouvelle fonctionnalité. Du moins pour le moment, car l’option ne dispose toujours pas de la couche de protection supplémentaire que le chiffrement de bout en bout peut fournir.
Lorsque les utilisateurs synchronisent les « secrets 2FA » avec leur compte Google pour y accéder sur tous les appareils, Google ne crypte pas les codes OTP. Chercheurs à Mysk ont analysé le trafic réseau provenant de l’opération de synchronisation, découvrant que les données envoyées aux serveurs Google ne sont pas chiffrées de bout en bout. Cela signifie que Google peut potentiellement voir les codes secrets des utilisateurs lorsqu’ils sont stockés sur leurs serveurs, ont expliqué les chercheurs.
Google vient de mettre à jour son application 2FA Authenticator et d’ajouter une fonctionnalité indispensable : la possibilité de synchroniser les secrets entre les appareils.
TL; DR : Ne l’allumez pas.
La nouvelle mise à jour permet aux utilisateurs de se connecter avec leur compte Google et de synchroniser les secrets 2FA sur leurs appareils iOS et Android.… pic.twitter.com/a8hhelupZR
– Mysk ð¨ð¦ð©ðª (@mysk_co) 26 avril 2023
Mountain View ne fournit aucune fonctionnalité ou phrase secrète supplémentaire pour protéger les sauvegardes OTP. S’il y a une violation de données ou si le compte Google d’un utilisateur est compromis, les chercheurs ont déclaré que « tous vos secrets 2FA seraient également compromis ». Pour cette raison et d’autres, Mysk conseille de ne pas activer l’option de synchronisation cloud dans l’application Authenticator pour le moment.
Le chiffrement de bout en bout est une protection de sécurité qui protège les données transmises contre les écoutes clandestines potentielles ou les modifications malveillantes, garantissant que le message numérique (ou le fichier) peut être consulté dans sa forme originale par l’expéditeur et le destinataire seuls. Les applications d’authentification tierces populaires comme Authy fournissent déjà ce type de communication cryptée, mais Google a clairement d’autres projets pour ses utilisateurs.
La société a reconnu l’absence de cryptage E2E dans sa nouvelle fonctionnalité d’authentification de synchronisation dans le cloud, mais elle affirme maintenant que cela a été fait exprès. Bien que le chiffrement E2E offre une protection supplémentaire, Google a dit, il peut également empêcher les utilisateurs d’accéder à leurs propres données s’ils perdent leur mot de passe « maître ». L’option de synchronisation est conçue pour protéger la sécurité et la confidentialité, mais aussi pour être utile et pratique.
Google a déclaré que les données des utilisateurs sont cryptées « en transit et au repos » dans tous les produits de l’entreprise, y compris dans Google Authenticator, ce qui semble contredire ce que les chercheurs de Mysk ont déclaré avoir observé dans des scénarios réels. Quoi qu’il en soit, la société Alphabet promet maintenant qu’une sorte de cryptage E2E finira par arriver à l’application Authenticator. Tôt ou tard.