L’application gratuite Authenticator de Google est depuis longtemps l’un des meilleurs moyens de stocker les codes temporisés nécessaires aux systèmes d’authentification à deux facteurs (2FA) utilisés par de nombreux services en ligne. Cependant, il a toujours souffert d’une limitation ennuyeuse : ces codes n’étaient stockés que sur l’appareil que vous utilisiez.
Bien qu’il soit difficile d’argumenter contre la sécurité d’une telle approche, cela en faisait un problème pour les personnes qui souhaitaient accéder à leurs codes à deux facteurs à partir de plusieurs appareils, tels qu’un iPhone et un iPad. C’était également une nuisance lors de la mise à niveau vers un iPhone plus récent, car les codes ne seront généralement pas restaurés à partir d’une sauvegarde sur un nouveau téléphone en raison de la façon dont ils sont stockés dans l’application.
Inutile de dire que c’était une bouffée d’air frais lorsque le chef de produit Google Christiaan Brand a annoncé cette semaine que Google Authenticator peut sauvegarder et synchroniser les codes à usage unique à l’aide de votre compte Google. Cela obtient un”enfin”bien mérité si l’on considère que l’application est sortie en 2010 comme l’une des premières applications 2FA sur le marché.
Cependant, cet enthousiasme a été de courte durée après que les chercheurs en sécurité ont examiné de plus près ce que faisait Google et ont découvert qu’il manquait de protections importantes pour stocker des données aussi sensibles que les codes 2FA des gens.
Dans un long tweet (oui, Twitter permet désormais aux membres payants d’écrire des essais), les développeurs et les analystes de la sécurité sur Mysk a signalé l’absence de chiffrement de bout en bout (E2E) dans le nouveau système et a conseillé aux utilisateurs de Google Authenticator de ne pas l’activer.
Google vient de mettre à jour son application 2FA Authenticator et d’ajouter une fonctionnalité indispensable : la possibilité de synchroniser les secrets sur tous les appareils.
TL;DR : Ne la tournez pas on.
La nouvelle mise à jour permet aux utilisateurs de se connecter avec leur compte Google et de synchroniser les secrets 2FA sur leurs appareils iOS et Android.… pic.twitter.com/a8hhelupZR— Mysk ???? (@mysk_co) 26 avril 2023
Nous avons analysé le trafic réseau lorsque l’application synchronise les secrets, et il s’avère que le trafic n’est pas crypté de bout en bout. Comme le montrent les captures d’écran, cela signifie que Google peut voir les secrets, probablement même lorsqu’ils sont stockés sur leurs serveurs. Il n’y a pas d’option pour ajouter une phrase de passe pour protéger les secrets, pour les rendre accessibles uniquement par l’utilisateur. , les informations Google Authenticator stockées en clair dans votre compte Google contiennent également les clés secrètes, ou”graines”, utilisées pour générer ces codes. Cela signifie que toute personne ayant accès à ces informations pourrait générer les mêmes codes 2FA sur un autre appareil, entraînant ainsi une compromission potentielle de votre sécurité.
Bien sûr, ils doivent toujours connaître votre mot de passe également, mais l’intérêt de 2FA est de sécuriser vos comptes au cas où votre mot de passe serait intercepté ou divulgué par une violation de données.
En revanche, les secrets 2FA ne sont pas inclus dans les données exportées depuis votre compte Google, ils sont donc sécurisés à cet égard, mais il existe toujours un risque qu’ils soient exposés d’une autre manière si un pirate devait accéder à votre compte Google.
De plus, comme le note l’équipe de Mysk, il y a aussi un aspect lié à la confidentialité :”Puisque Google peut voir toutes ces données, il sait quels services en ligne vous utilisez et pourrait potentiellement utiliser ces informations pour des publicités personnalisées..” Les pratiques d’exploration de données de Google sont bien connues, on ne peut donc pas supposer qu’il n’utiliserait pas ces données pour profiler ses utilisateurs.
Heureusement, la nouvelle fonctionnalité de synchronisation est entièrement opt-in ; vous pouvez toujours utiliser l’application comme vous l’avez toujours fait, en stockant vos secrets uniquement sur votre appareil. Suite au rapport de problèmes de sécurité, la marque Google Christiaan explique pourquoi l’entreprise a choisi d’omettre le chiffrement de bout en bout, notant que cela se fait”au prix de permettre aux utilisateurs de se verrouiller sur leurs propres données sans récupération”. Il ajoute que E2E arrive pour Google Authenticator”sur toute la ligne”, auquel cas vous pourrez probablement l’utiliser en toute sécurité. Il est préférable de l’éviter jusqu’à ce que cela se produise ou d’envisager une application alternative pour gérer vos codes 2FA.
Abandonnez Google Authenticator et utilisez le trousseau iCloud
Puisque Google pousse naturellement sa propre application Google Authenticator, de nombreux utilisateurs de Gmail en sont venus à croire que c’est l’application qu’ils doivent utiliser pour accéder leur compte Google et d’autres services qui utilisent 2FA.
Cependant, rien ne pourrait être plus éloigné de la vérité. Bien sûr, Google Authenticator gère bien cela, et il existe depuis si longtemps qu’il est devenu une norme de facto pour les informations d’identification 2FA. Cependant, ce n’est pas le seul jeu en ville de loin.
En fait, si vous utilisez iOS 15 et/ou macOS Monterey ou une version ultérieure, vous pouvez abandonner complètement Google Authenticator et passer à iCloud Keychain, qui inclut un cryptage robuste de bout en bout depuis sa création. dans iOS 7 et OS X Mavericks en 2013.
Alors que iCloud Keychain a pu stocker les mots de passe en toute sécurité pendant des années, la capacité de gérer les codes d’authentification à deux facteurs n’est apparue que dans iOS 15 et son autre iPadOS qui l’accompagne et les versions macOS. Cependant, cela en fait désormais un remplacement complet de Google Authenticator, d’autant plus qu’il synchronise déjà toutes ces informations sur tous les iPhone, iPad et Mac connectés à votre compte iCloud et peut remplir automatiquement ces codes pour vous dans Safari. Apple propose également une application Windows pour cela.
Les gestionnaires de mots de passe tiers comme 1Password ont également pris en charge le stockage des codes 2FA pendant longtemps, avec les mêmes fonctionnalités de remplissage automatique, donc si iCloud Keychain ne vous convient pas, vous pouvez toujours vous tourner vers l’un des ceux.
Cependant, il existe un argument valable selon lequel le stockage de vos mots de passe et codes 2FA dans la même application conserve tous vos œufs dans un seul panier. Une faille de sécurité de cette application donnerait aux pirates toutes les pièces dont ils ont besoin pour compromettre vos comptes. Si cela vous concerne, il existe une variété d’applications 2FA autonomes telles que Authy, Authentification OTP et TOTP qui font le travail. Certains proposent même des applications Apple Watch pour obtenir rapidement vos codes 2FA depuis votre poignet. C’est quelque chose que Google Authenticator ne fera pas pour vous.
N’oubliez pas que vous n’améliorez pas vraiment la sécurité en utilisant une application 2FA distincte si elle est installée sur le même iPhone que votre gestionnaire de mots de passe, sauf si vous la protégez avec un mot de passe différent et qu’elle prend en charge le cryptage local de vos données OTP. Sinon, toute personne qui met la main sur votre iPhone et peut le déverrouiller peut récupérer vos codes 2FA dans une application distincte encore plus facilement qu’elle ne peut accéder à un gestionnaire de mots de passe plus sécurisé comme 1Password.