Google vient d’annoncer sur son blog de sécurité que l’application Authenticator de la société bénéficie non seulement d’une refonte avec un nouveau logo modernisé, mais aussi et enfin de la synchronisation des comptes pour vos codes ! L’application n’a jamais été utilisée pour synchroniser vos codes d’authentification dans le cloud, ce qui entraîne beaucoup de frustration et d’agacement non seulement lors de sa configuration, mais si vous changez de téléphone ou effectuez une mise à niveau, l’application doit être configurée à nouveau, ce qui conduit de nombreuses personnes à être bloquées. comptes qui nécessitent ces codes.
“L’un des principaux commentaires que nous avons reçus des utilisateurs au fil des ans était la complexité de la gestion des appareils perdus ou volés sur lesquels Google Authenticator était installé. Étant donné que les codes uniques dans Authenticator n’étaient stockés que sur un seul appareil, la perte de cet appareil signifiait que les utilisateurs perdaient leur capacité à se connecter à n’importe quel service sur lequel ils avaient configuré 2FA à l’aide d’Authenticator. »
C’est génial, mais bizarrement, ces codes, bien que synchronisés avec votre compte Google pour faciliter la configuration et le rappel sur de nouveaux appareils, ne sont pas chiffrés de bout en bout ! C’est un gros faux pas de Google, et les utilisateurs commencent à remarquer que cette solution est à moitié cuite.
En n’ayant pas de cryptage E2E, ceux-ci pourraient potentiellement être exposés ou interceptés par des tiers malveillants. Selon Mysk sur Twitter, qui a dit Gizmodo à propos du manque de cryptage, ils”ont analysé le trafic réseau lorsque l’application synchronise les secrets, et il s’avère le trafic n’est pas crypté de bout en bout », et a déclaré: « Cela signifie que Google peut voir les secrets, probablement même lorsqu’ils sont stockés sur leurs serveurs. Il n’y a pas d’option pour ajouter une phrase secrète pour protéger les secrets, pour les rendre accessibles uniquement par l’utilisateur.”.
Essentiellement, en sauvegardant vos codes secrets, Google pourrait même les voir bruts sur leurs serveurs grâce à une « graine » exposée utilisée pour générer vos codes. En mettant la main sur cette graine, n’importe qui peut créer ses propres codes pour votre compte et les utiliser pour y accéder. Bien sûr, cela signifie que si Google était piraté et que quelqu’un mettait la main sur les données de son serveur où vos informations étaient stockées, il aurait un accès direct à toutes vos données.
Google n’a pas tardé à répondre à cette situation via CNET indiquant qu’il prévoit toujours de déployer le cryptage E2E sur son application Authenticator à temps et qu’il a ajouté la synchronisation de compte pour la”commodité”même si cela va à l’encontre de l’idée même de garder les utilisateurs à distance des risques et des problèmes de sécurité.
(1/4) Nous nous concentrons toujours sur la sûreté et la sécurité de @ utilisateurs de Google, et les dernières mises à jour de Google Authenticator n’ont pas fait exception. Notre objectif est d’offrir des fonctionnalités qui protègent les utilisateurs, MAIS qui sont utiles et pratiques.
— Christiaan Brand (@christiaanbrand) 26 avril 2023
Vous pouvez toujours utiliser l’application sans synchroniser vos codes secrets, ce qui signifie que pour tous les utilisateurs qui voient cela (nombreux sont ceux qui synchroniseront involontairement leurs comptes quoi qu’il en soit), je vous recommande de l’utiliser comme vous l’avez toujours fait-coupé des serveurs de Google. Faites-moi savoir dans les commentaires si vous utilisez Google Authenticator ou si vous êtes passé à d’autres solutions comme Authy.