Plus tôt cette semaine, Google a mis à jour son application Authenticator pour permettre la sauvegarde et la synchronisation des codes 2FA sur tous les appareils à l’aide d’un compte Google. Aujourd’hui, un examen effectué par des chercheurs en sécurité de Mysk a révélé que les codes secrets sensibles à usage unique synchronisés avec le cloud ne sont pas chiffrés de bout en bout, ce qui les expose potentiellement aux mauvais acteurs.
Avant Grâce à l’intégration de la prise en charge du compte Google, tous les codes de l’application Google Authenticator étaient stockés sur l’appareil, ce qui signifiait que si l’appareil était perdu, les codes d’accès à usage unique l’étaient également, ce qui pouvait également entraîner la perte de l’accès au compte. Mais il semble qu’en activant la synchronisation basée sur le cloud, Google a exposé les utilisateurs à un risque de sécurité d’un autre type.
“Nous avons analysé le trafic réseau lorsque l’application synchronise les secrets, et il s’avère que le trafic n’est pas chiffré de bout en bout”, a déclaré Mysk via Twitter.”Cela signifie que Google peut voir les secrets, probablement même lorsqu’ils sont stockés sur leurs serveurs. Il n’y a pas d’option pour ajouter une phrase secrète pour protéger les secrets, pour les rendre accessibles uniquement par l’utilisateur.”
“Secrets“est un terme utilisé pour désigner des informations privées qui agissent comme des clés pour déverrouiller des ressources protégées ou des informations sensibles ; dans ce cas, des codes d’accès à usage unique.
Mysk a déclaré que ses tests ont révélé que le trafic non chiffré contient une”graine”utilisée pour générer les codes 2FA. Selon les chercheurs, toute personne ayant accès à cette graine peut générer ses propres codes pour les mêmes comptes et s’y introduire.
“Si les serveurs de Google étaient compromis, des secrets seraient divulgués”, a déclaré Mysk Gizmodo. Étant donné que les codes QR impliqués dans la configuration de l’authentification à deux facteurs contiennent le nom du compte ou du service, l’attaquant peut également identifier les comptes.”C’est particulièrement risqué si vous êtes un activiste et gérez d’autres comptes Twitter de manière anonyme”, ont ajouté les chercheurs.
Mysk a par la suite conseillé aux utilisateurs de ne pas activer la fonctionnalité de compte Google qui synchronise les codes 2FA sur les appareils et le cloud..
Google vient de mettre à jour son application 2FA Authenticator et d’ajouter une fonctionnalité indispensable : la possibilité de synchroniser les secrets entre les appareils. TL; DR : Ne l’allumez pas. La nouvelle mise à jour permet aux utilisateurs de se connecter avec leur compte Google et de synchroniser les secrets 2FA sur leurs appareils iOS et Android.… pic.twitter.com/a8hhelupZR — Mysk 🇨🇦🇩🇪 (@mysk_co) 26 avril 2023
En réponse à l’avertissement, un porte-parole de Google a déclaré à CNET, il avait ajouté la fonctionnalité de synchronisation tôt pour des raisons de commodité, mais ce chiffrement de bout en bout est toujours en cours :
Le chiffrement de bout en bout (E2EE) est une fonctionnalité puissante qui offre des protections supplémentaires, mais au prix de permettre aux utilisateurs de se voir exclure de leurs propres données sans récupération. Pour nous assurer que nous offrons un ensemble complet d’options aux utilisateurs, nous avons également commencé à déployer E2EE en option dans certains de nos produits, et nous prévoyons d’offrir E2EE pour Google Authenticator à l’avenir.”
En attendant, il existe des services alternatifs pour synchroniser les codes d’authentification sur tous les appareils, tels que le propre générateur de code 2FA d’Apple et des applications tierces comme Authy.