Il y a quelques jours, Google lançait une mise à jour importante de Google Authenticator, avec l’arrivée d’une fonctionnalité demandée depuis longtemps par ses utilisateurs : la synchronisation des codes d’authentification à deux facteurs avec votre compte Google. Mais pour l’instant, cette synchronisation n’est pas chiffrée de bout en bout.
Pour aller plus loin
Double authentification (2FA) : pourquoi et comment sécuriser ses comptes Google, Facebook, iCloud, Steam…
Une alerte lancée à propos de Google Authenticator : un manque de sécurité certain ?
Comme l’écrit Android Central, l’éditeur de logiciels Mysk a déconseillé à ses utilisateurs d’avoir recours à cette synchronisation des codes. En analysant le trafic réseau durant cette synchronisation, l’entreprise a trouvé que les données en transit n’étaient pas chiffrées de bout en bout. « Cela signifie que Google peut accéder à vos ‘secrets’, probablement même lorsqu’ils sont stockés sur leurs serveurs », écrit Mysk dans un tweet. Le tout sans qu’il ne soit proposé à l’utilisateur d’ajouter une couche de sécurité à la synchronisation, comme un mot de passe.
Si Google venait à subir une cyberattaque, ces données, parce qu’elles sont stockées dans ses serveurs, pourraient être compromises. Les pirates pourraient alors générer de nouveaux codes d’authentification pour se connecter à des comptes qui auraient dû être suffisamment protégés.
Mysk écrit également que Google pourrait utiliser ces données à des fins publicitaires, puisque cela lui permet de connaître les services les plus utilisés (les codes contenant le nom du service et le nom du compte). Mysk recommande donc l’utilisation de Google Authenticator, mais sans la synchronisation des codes.
La réponse de Google : Authenticator va s’améliorer
Pour répondre à cette polémique, le chef de produit de chez Google Christiaan Brand a répondu indirectement à Mysk dans une série de tweets. Il reconnaît l’absence de chiffrement de bout en bout, mais annonce que cette fonctionnalité sera mise en place plus tard, que c’est prévu. L’employé ajoute que Google chiffre les données de toutes ses applications, y compris Google Authenticator.
Par rapport aux dangers que représente cette nouvelle fonctionnalité, il suggère que la balance bénéfice-risque penche dans le bon sens : « nous pensons que notre produit actuel offre un bon équilibre à la plupart des utilisateurs et qu’il présente des avantages significatifs par rapport à l’utilisation hors-ligne ».
Pour aller plus loin
Comment sécuriser votre smartphone, votre tablette ou votre PC ? Le guide ultime !
Effectivement, cette synchronisation des codes permet d’éviter une éventuelle perte des comptes dans le cas où l’appareil de stockage serait perdu, ou ne fonctionnerait plus. Enfin, cette synchronisation reste facultative.
Si vous voulez recevoir les meilleures actus Frandroid sur WhatsApp, rejoignez cette discussion.
Ce contenu est bloqué car vous n'avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Disqus.
Pour pouvoir le visualiser, vous devez accepter l'usage étant opéré par Disqus avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l'amélioration des produits d'Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l'audience de ce site (en savoir plus)
En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et ses partenaires.
Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.
Gérer mes choix