Christiaan Brand, chef de produit chez Google, a déclaré sur Twitter :
Pour l'instant, nous pensons que notre produit actuel trouve le bon équilibre pour la plupart des utilisateurs et offre des avantages significatifs par rapport à l'utilisation hors ligne. Cependant, l'option d'utiliser l'application hors ligne restera une alternative pour ceux qui préfèrent gérer eux-mêmes leur stratégie de sauvegarde.
Les chercheurs en sécurité Mysk ont mis en évidence certains de ces risques dans un message publié sur Twitter, notant que "si jamais il y a une violation de données ou si quelqu'un obtient l'accès à votre compte Google, tous vos secrets 2FA seraient compromis". Ils ont ajouté que Google pourrait potentiellement utiliser les informations liées à vos comptes pour diffuser des publicités personnalisées et ont également conseillé aux utilisateurs de ne pas utiliser la fonction de synchronisation jusqu'à ce qu'elle prenne en charge l'E2EE. La société Brand a répondu aux critiques en déclarant que si Google chiffre "les données en transit et au repos dans tous ses produits, y compris dans Google Authenticator", l'application de l'E2EE a pour prix de "permettre aux utilisateurs de se retrouver bloqués dans leurs propres données sans pouvoir les récupérer".
[tweet]<blockquote class="twitter-tweet"><p lang="en" dir="ltr">(3/4) To make sure we’re offering users a full set of options, we’ve started rolling out optional E2E encryption in some of our products, and we have plans to offer E2EE for Google Authenticator down the line.</p>— Christiaan Brand (@christiaanbrand) <a href="https://twitter.com/christiaanbrand/status/1651279689040920576?ref_src=twsrc%5Etfw">April 26, 2023</a></blockquote> <script async src="https://platform.twitter.com/widgets.js" charset="utf-8"></script>[/tweet]
Et vous ?
Qu'en pensez-vous ?
Voir aussi :
Google Authenticator synchronisera désormais tous les codes d'authentification à deux facteurs qu'il génère avec le compte Google de l'utilisateur, mais cela ajoute un nouveau risque de sécurité
Google peut voir vos secrets lorsque la synchronisation dans le cloud est activée pour Google Authenticator, les données ne sont pas chiffrées de bout en bout et sont exposées aux violations