Google a annoncé lundi que son application d'authentification à deux facteurs (2FA) Google Authenticator prend maintenant en charge le synchronisation dans le cloud, ce qui le rend plus convivial à utiliser. Mais les experts recommandent de ne pas l'activer, car cette fonctionnalité ajoute de nouveaux risque de sécurité. Le trafic n'est pas chiffré de bout en bout, ce qui signifie que Google peut voir les secrets, probablement même lorsqu'ils sont stockés sur leurs serveurs. Ils sont également exposés au vol par les acteurs malveillants. Il n'y pas d'option pour ajouter une phrase de passe pour protéger les secrets, afin qu'ils ne soient accessibles qu'à l'utilisateur.Google Authenticator est un logiciel populaire d'authentification à deux facteurs qui permet de créer des codes pour les processus d'autorisation. Comme la plupart des logiciels d'authentification à deux facteurs basées sur le Web, Authenticator combine des fonctions de connaissance et de possession. Pour accéder à des sites Web ou à des services basés sur le Web, l'internaute saisit son nom d'utilisateur et son mot de passe habituel, puis un code de passe à usage unique (OTP) qui a été envoyé à son appareil par le système et qui a été déclenché par la connexion. Jusqu'à présent, Authenticator ne synchronisait pas les codes entre les appareils d'un client.
Cela signifiait que les clients devaient installer et configurer ces solutions manuellement sur chaque appareil. Mais cette semaine, Google a introduit la prise en charge de la synchronisation des codes d'authentification à deux facteurs via son outil Authenticator. Cette nouvelle fonctionnalité améliore la convivialité de l'application pour les utilisateurs de plusieurs appareils. Les clients de Google peuvent maintenant synchroniser les code entre les appareil iOS et Android. Ainsi, lorsque vous configurez un nouvel appareil et que vous vous connectez à votre compte, Authenticator sera prêt à fonctionner sans nécessiter de processus de configuration propre.
Mais, bien que de nombreux utilisateurs aient déjà activé la fonction, les experts conseillent de la désactiver pour l'instant. Voici pourquoi : l'analyse du trafic réseau a révélé que les données, qui contiennent des informations très sensibles, ne sont pas chiffrées de bout en bout, ce qui signifie que Google, et probablement aussi toute personne ayant accès au compte Google, peut avoir accès aux secrets. Ici, le secret est la "graine" utilisée pour générer les codes à usage unique. Il est essentiel pour l'authentification à deux facteurs. En d'autres termes, toute personne ayant accès au secret peut créer des codes à usage unique pour le service lié.
Souvent, des informations sur le service lié et un nom de compte peuvent également être présents dans les données. Le problème a été découvert et rendu public par un groupe de deux chercheur en cybersécurité appelé Mysk. « Nous avons analysé le trafic réseau lorsque l'application synchronise les secret, et il s'avère que le trafic n'est pas chiffré de bout en bout. Cela signifie que Google peut voir les secrets, probablement même lorsqu'ils sont stockés sur leurs serveurs. Et il n'y aucune option permettant d'ajouter une phrase de passe pour protéger les secrets, afin qu'ils ne soient accessibles qu'à l'utilisateur », a écrit le groupe de chercheurs.
Selon les chercheur, un autre problème qui pourrait se poser est que Google pourrait fournir les informations lorsque la loi l'exige. Avec le chiffrement de bout en bout activé, Google ne serait pas en mesure de fournir les informations demandées. Ils recommandent de garder l'option de synchronisation désactivée pour l'instant, au détriment de la commodité, afin de garder les données sécurisées et à l'abri des regards indiscrets. Google pourrait, à un moment donné, introduire une phrase de passe que les utilisateurs peuvent spécifier pour protéger les données lorsqu'elles sont transférées vers les serveurs cloud de l'entreprise.
Google Authenticator et d'autres applications de ce type constituent une option bien plus sûre que les codes SMS. Cependant, il est important de noter que la commodité de la synchronisation dans le cloud s'accompagne potentiellement d'un risque supplémentaire. Cela pourrait rendre le ciblage des comptes Google encore plus tentant pour les acteurs malveillants. Si vous parvenez à vous introduire dans un compte, vous pourriez avoir accès à un grand nombre de comptes sensibles. Kimberly Samra, porte-parole de Google, a confirmé que la synchronisation dans le cloud n'est pas activée par défaut et qu'elle était totalement facultative.
Mais si vous l'activez, ne vous attendez pas à des précautions de sécurité supplémentaires par rapport aux mesures standard de Google. Pour empêcher les invités indésirables d'entrer, Authy dispose d'un mot de passe unique pour restaurer les sauvegardes à deux facteurs et d'un bouton permettant d'autoriser (ou d'empêcher) l'utilisation de plusieurs appareils pour un même compte.
« En résumé, bien que la synchronisation des secrets 2FA entre les appareils soit pratique, elle se fait au détriment de votre vie privée. Heureusement, Google Authenticator offre toujours la possibilité d'utiliser le logiciel sans se connecter ni synchroniser les secrets. Pour l'instant, nous vous recommandons d'utiliser l'application sans la nouvelle fonctionnalité de synchronisation », a écrit le groupe.
Source : billet de blogue
Et vous ?
Quel est votre avis sur le sujet ? Que pensez-vous du problème découvert par les chercheurs ? Selon vous, s'agit-il d'une erreur d'implémentation ou d'un choix délibéré de Google de ne pas chiffrer les données ?Voir aussi
Google Authenticator synchronisera désormais tous les codes d'authentification à deux facteurs qu'il génère avec le compte Google de l'utilisateur, mais cela ajoute un nouveau risque de sécurité Quelles sont les applications d'authentification les plus populaires du point de vue de la sécurité ? Microsoft Authenticator arrive en tête, suivi de Google Authenticator et de Twilio Authy La FTC inflige une amende de 150 millions de dollars à Twitter pour avoir utilisé des numéros de téléphone 2FA à des fins de ciblage publicitaire, Twitter est également soumis à d'autres exigences