Saviez-vous que Google Authenticator n’était pas sécurisé jusqu’à présent ? C’est peut-être difficile à accepter, mais c’est vrai. Google prévoit maintenant d’ajouter un chiffrement de bout en bout à Google Authenticator. Il y a quelques jours, des chercheurs en sécurité avaient critiqué l’entreprise pour ne pas avoir ajouté un haut niveau de sécurité à son outil premium.
En réponse aux critiques, l’entreprise déploie une fonctionnalité de synchronisation de compte sur Google Authenticator. Sur son compte Twitter, le chef de produit Google, Christiaan Bran, écrit que l’entreprise prévoit de proposer E2EE à l’avenir. M. Brand écrit :
“Pour l’instant, nous pensons que notre produit actuel offre le bon équilibre pour la plupart des utilisateurs et offre des avantages significatifs par rapport à une utilisation hors ligne. Pourtant, l’option d’utiliser l’application hors ligne restera un choix pour ceux qui préfèrent gérer leur propre stratégie de sauvegarde ».
Google Authenticator obtiendra une authentification de bout en bout…
Il était choquant d’apprendre que Google Authenticator ne dispose pas d’une fonction de sécurité fiable. Plus tôt cette semaine, l’outil avait commencé à montrer une option d’authentification à deux facteurs à ses utilisateurs. Avec cette option, les utilisateurs pourront synchroniser les codes d’authentification à deux facteurs avec leurs comptes Google. Cela permettra aux utilisateurs de se connecter plus facilement à leurs comptes Google sur de nouveaux appareils.
Gizchina News of the week
C’est un changement bienvenu, mais cela peut entraîner des problèmes de sécurité. Avec ce changement, les pirates pourront accéder à tous les comptes Google liés d’un utilisateur en se brisant en un seul. Une chose est sûre, les pirates et même Google ne pourront pas voir les informations des utilisateurs si cette fonctionnalité bénéficie du support E2EE. Mysk, chercheur en sécurité, a souligné ces risques sur Twitter. Ils ont dit :
“Si jamais il y a une violation de données ou si quelqu’un accède à votre compte Google, tous vos secrets 2FA seront compromis.”
Selon les chercheurs, Google sera capable d’accéder aux informations des utilisateurs pour afficher des publicités personnalisées sans E2EE. Ils ont conseillé aux utilisateurs de ne pas utiliser cette fonctionnalité jusqu’à ce que Google ajoute le support E2EE. À son tour, Brand a riposté aux critiques et a déclaré :
“Alors que Google chiffre les données en transit et au repos dans tous nos produits, y compris Google Authenticator, l’application d’E2EE se fait au prix d’empêcher les utilisateurs d’accéder à leurs propres données sans récupération.
Pour le moment, nous ne savons pas quand Google ajoutera la fonctionnalité E2EE à Google Authenticator. Cependant, les utilisateurs auront la possibilité d’activer cette fonctionnalité sans E2EE, ou ils peuvent continuer à utiliser cette fonctionnalité hors ligne.
Source/VIA :