Google prvoit d’ajouter le chiffrement de bout en bout Authenticator, suite aux critiques

Pour l’instant, nous pensons que notre produit actuel trouve le bon quilibre pour la plupart des utilisateurs et offre des avantages significatifs par rapport l’utilisation hors ligne. Cependant, l’option d’utiliser l’application hors ligne restera une alternative pour ceux qui prfrent grer eux-mmes leur stratgie de sauvegarde.

En dbut de semaine, Google Authenticator a enfin offert aux utilisateurs la possibilit de synchroniser les codes d’authentification deux facteurs avec leurs comptes Google, ce qui facilite grandement la connexion aux comptes sur de nouveaux appareils. Bien que ce changement soit le bienvenu, il pose galement quelques problmes de scurit, car les pirates qui s’introduisent dans le compte Google d’une personne peuvent potentiellement avoir accs une multitude d’autres comptes. Si la fonction prenait en charge l’E2EE, les pirates et autres tiers, y compris Google, ne pourraient pas voir ces informations.

Les chercheurs en scurit Mysk ont mis en vidence certains de ces risques dans un message publi sur Twitter, notant que « si jamais il y a une violation de donnes ou si quelqu’un obtient l’accs votre compte Google, tous vos secrets 2FA seraient compromis ». Ils ont ajout que Google pourrait potentiellement utiliser les informations lies vos comptes pour diffuser des publicits personnalises et ont galement conseill aux utilisateurs de ne pas utiliser la fonction de synchronisation jusqu’ ce qu’elle prenne en charge l’E2EE. La socit Brand a rpondu aux critiques en dclarant que si Google chiffre « les donnes en transit et au repos dans tous ses produits, y compris dans Google Authenticator », l’application de l’E2EE a pour prix de « permettre aux utilisateurs de se retrouver bloqus dans leurs propres donnes sans pouvoir les rcuprer ».