Google prévoit d'ajouter le chiffrement de bout en bout à Authenticator

Suite aux critiques

Google prévoit d'ajouter le chiffrement de bout en bout à Authenticator, suite aux critiques

Après que des chercheurs en sécurité ont critiqué Google pour ne pas avoir inclus le chiffrement de bout en bout dans la mise à jour de synchronisation des comptes d'Authenticator, l'entreprise a annoncé qu'elle prévoyait d'offrir le chiffrement de bout en bout à l'avenir

Christiaan Brand, chef de produit chez Google, a déclaré sur Twitter :

En début de semaine, Google Authenticator a enfin offert aux utilisateurs la possibilité de synchroniser les codes d'authentification à deux facteurs avec leurs comptes Google, ce qui facilite grandement la connexion aux comptes sur de nouveaux appareils. Bien que ce changement soit le bienvenu, il pose également quelques problèmes de sécurité, car les pirates qui s'introduisent dans le compte Google d'une personne peuvent potentiellement avoir accès à une multitude d'autres comptes. Si la fonction prenait en charge l'E2EE, les pirates et autres tiers, y compris Google, ne pourraient pas voir ces informations.

Les chercheurs en sécurité Mysk ont mis en évidence certains de ces risques dans un message publié sur Twitter, notant que "si jamais il y a une violation de données ou si quelqu'un obtient l'accès à votre compte Google, tous vos secrets 2FA seraient compromis". Ils ont ajouté que Google pourrait potentiellement utiliser les informations liées à vos comptes pour diffuser des publicités personnalisées et ont également conseillé aux utilisateurs de ne pas utiliser la fonction de synchronisation jusqu'à ce qu'elle prenne en charge l'E2EE. La société Brand a répondu aux critiques en déclarant que si Google chiffre "les données en transit et au repos dans tous ses produits, y compris dans Google Authenticator", l'application de l'E2EE a pour prix de "permettre aux utilisateurs de se retrouver bloqués dans leurs propres données sans pouvoir les récupérer".

(3/4) To make sure we’re offering users a full set of options, we’ve started rolling out optional E2E encryption in some of our products, and we have plans to offer E2EE for Google Authenticator down the line.

— Christiaan Brand (@christiaanbrand) April 26, 2023

Et vous ?

Qu'en pensez-vous ?

Voir aussi :

Google Authenticator synchronisera désormais tous les codes d'authentification à deux facteurs qu'il génère avec le compte Google de l'utilisateur, mais cela ajoute un nouveau risque de sécurité

Google peut voir vos secrets lorsque la synchronisation dans le cloud est activée pour Google Authenticator, les données ne sont pas chiffrées de bout en bout et sont exposées aux violations