Google Authenticator : attention, la synchronisation de vos codes n’est pas très bien protégée
Il y a quelques jours, Google lançait une mise à jour importante de Google Authenticator, avec l'arrivée d'une fonctionnalité demandée depuis longtemps par ses utilisateurs : la synchronisation des codes d’authentification à deux facteurs avec votre compte Google. Mais pour l'instant, cette synchronisation n'est pas chiffrée de bout en bout.
Une alerte lancée à propos de Google Authenticator : un manque de sécurité certain ?
Comme l'écrit Android Central, l'éditeur de logiciels Mysk a déconseillé à ses utilisateurs d'avoir recours à cette synchronisation des codes. En analysant le trafic réseau durant cette synchronisation, l'entreprise a trouvé que les données en transit n'étaient pas chiffrées de bout en bout. « Cela signifie que Google peut accéder à vos 'secrets', probablement même lorsqu'ils sont stockés sur leurs serveurs », écrit Mysk dans un tweet. Le tout sans qu'il ne soit proposé à l'utilisateur d'ajouter une couche de sécurité à la synchronisation, comme un mot de passe.
https://twitter.com/mysk_co/status/1651021165727477763
Si Google venait à subir une cyberattaque, ces données, parce qu'elles sont stockées dans ses serveurs, pourraient être compromises. Les pirates pourraient alors générer de nouveaux codes d'authentification pour se connecter à des comptes qui auraient dû être suffisamment protégés.
Mysk écrit également que Google pourrait utiliser ces données à des fins publicitaires, puisque cela lui permet de connaître les services les plus utilisés (les codes contenant le nom du service et le nom du compte). Mysk recommande donc l'utilisation de Google Authenticator, mais sans la synchronisation des codes.
La réponse de Google : Authenticator va s'améliorer
Pour répondre à cette polémique, le chef de produit de chez Google Christiaan Brand a répondu indirectement à Mysk dans une série de tweets. Il reconnaît l'absence de chiffrement de bout en bout, mais annonce que cette fonctionnalité sera mise en place plus tard, que c'est prévu. L'employé ajoute que Google chiffre les données de toutes ses applications, y compris Google Authenticator.
https://twitter.com/christiaanbrand/status/1651279598309744640
Par rapport aux dangers que représente cette nouvelle fonctionnalité, il suggère que la balance bénéfice-risque penche dans le bon sens : « nous pensons que notre produit actuel offre un bon équilibre à la plupart des utilisateurs et qu'il présente des avantages significatifs par rapport à l'utilisation hors-ligne ».
Effectivement, cette synchronisation des codes permet d'éviter une éventuelle perte des comptes dans le cas où l'appareil de stockage serait perdu, ou ne fonctionnerait plus. Enfin, cette synchronisation reste facultative.