Google a annonc lundi que son application d’authentification deux facteurs (2FA) Google Authenticator prend maintenant en charge le synchronisation dans le cloud, ce qui le rend plus convivial utiliser. Mais les experts recommandent de ne pas l’activer, car cette fonctionnalit ajoute de nouveaux risque de scurit. Le trafic n’est pas chiffr de bout en bout, ce qui signifie que Google peut voir les secrets, probablement mme lorsqu’ils sont stocks sur leurs serveurs. Ils sont galement exposs au vol par les acteurs malveillants. Il n’y pas d’option pour ajouter une phrase de passe pour protger les secrets, afin qu’ils ne soient accessibles qu’ l’utilisateur.
Google Authenticator est un logiciel populaire d’authentification deux facteurs qui permet de crer des codes pour les processus d’autorisation. Comme la plupart des logiciels d’authentification deux facteurs bases sur le Web, Authenticator combine des fonctions de connaissance et de possession. Pour accder des sites Web ou des services bass sur le Web, l’internaute saisit son nom d’utilisateur et son mot de passe habituel, puis un code de passe usage unique (OTP) qui a t envoy son appareil par le systme et qui a t dclench par la connexion. Jusqu’ prsent, Authenticator ne synchronisait pas les codes entre les appareils d’un client.
Cela signifiait que les clients devaient installer et configurer ces solutions manuellement sur chaque appareil. Mais cette semaine, Google a introduit la prise en charge de la synchronisation des codes d’authentification deux facteurs via son outil Authenticator. Cette nouvelle fonctionnalit amliore la convivialit de l’application pour les utilisateurs de plusieurs appareils. Les clients de Google peuvent maintenant synchroniser les code entre les appareil iOS et Android. Ainsi, lorsque vous configurez un nouvel appareil et que vous vous connectez votre compte, Authenticator sera prt fonctionner sans ncessiter de processus de configuration propre.
Mais, bien que de nombreux utilisateurs aient dj activ la fonction, les experts conseillent de la dsactiver pour l’instant. Voici pourquoi : l’analyse du trafic rseau a rvl que les donnes, qui contiennent des informations trs sensibles, ne sont pas chiffres de bout en bout, ce qui signifie que Google, et probablement aussi toute personne ayant accs au compte Google, peut avoir accs aux secrets. Ici, le secret est la « graine » utilise pour gnrer les codes usage unique. Il est essentiel pour l’authentification deux facteurs. En d’autres termes, toute personne ayant accs au secret peut crer des codes usage unique pour le service li.
Souvent, des informations sur le service li et un nom de compte peuvent galement tre prsents dans les donnes. Le problme a t dcouvert et rendu public par un groupe de deux chercheur en cyberscurit appel Mysk. Nous avons analys le trafic rseau lorsque l’application synchronise les secret, et il s’avre que le trafic n’est pas chiffr de bout en bout. Cela signifie que Google peut voir les secrets, probablement mme lorsqu’ils sont stocks sur leurs serveurs. Et il n’y aucune option permettant d’ajouter une phrase de passe pour protger les secrets, afin qu’ils ne soient accessibles qu’ l’utilisateur , a crit le groupe de chercheurs.
Selon les chercheur, un autre problme qui pourrait se poser est que Google pourrait fournir les informations lorsque la loi l’exige. Avec le chiffrement de bout en bout activ, Google ne serait pas en mesure de fournir les informations demandes. Ils recommandent de garder l’option de synchronisation dsactive pour l’instant, au dtriment de la commodit, afin de garder les donnes scurises et l’abri des regards indiscrets. Google pourrait, un moment donn, introduire une phrase de passe que les utilisateurs peuvent spcifier pour protger les donnes lorsqu’elles sont transfres vers les serveurs cloud de l’entreprise.
Google Authenticator et d’autres applications de ce type constituent une option bien plus sre que les codes SMS. Cependant, il est important de noter que la commodit de la synchronisation dans le cloud s’accompagne potentiellement d’un risque supplmentaire. Cela pourrait rendre le ciblage des comptes Google encore plus tentant pour les acteurs malveillants. Si vous parvenez vous introduire dans un compte, vous pourriez avoir accs un grand nombre de comptes sensibles. Kimberly Samra, porte-parole de Google, a confirm que la synchronisation dans le cloud n’est pas active par dfaut et qu’elle tait totalement facultative.
Mais si vous l’activez, ne vous attendez pas des prcautions de scurit supplmentaires par rapport aux mesures standard de Google. Pour empcher les invits indsirables d’entrer, Authy dispose d’un mot de passe unique pour restaurer les sauvegardes deux facteurs et d’un bouton permettant d’autoriser (ou d’empcher) l’utilisation de plusieurs appareils pour un mme compte.
En rsum, bien que la synchronisation des secrets 2FA entre les appareils soit pratique, elle se fait au dtriment de votre vie prive. Heureusement, Google Authenticator offre toujours la possibilit d’utiliser le logiciel sans se connecter ni synchroniser les secrets. Pour l’instant, nous vous recommandons d’utiliser l’application sans la nouvelle fonctionnalit de synchronisation , a crit le groupe.
Source : billet de blogue
Et vous ?
Quel est votre avis sur le sujet ?
Que pensez-vous du problme dcouvert par les chercheurs ?
Selon vous, s’agit-il d’une erreur d’implmentation ou d’un choix dlibr de Google de ne pas chiffrer les donnes ?
Voir aussi