Google Authenticator : attention, la synchronisation de vos codes n’est pas très bien protégée

 
Avec la dernière mise à jour de Google Authenticator est venue la synchronisation des codes de double authentification sur le compte Google. Cependant, cela pose des questions sur le chiffrement de bout en bout : il n’est pas encore disponible, ce qui peut engendrer des problèmes de sécurité.

Il y a quelques jours, Google lançait une mise à jour importante de Google Authenticator, avec l’arrivée d’une fonctionnalité demandée depuis longtemps par ses utilisateurs : la synchronisation des codes d’authentification à deux facteurs avec votre compte Google. Mais pour l’instant, cette synchronisation n’est pas chiffrée de bout en bout.

Une alerte lancée à propos de Google Authenticator : un manque de sécurité certain ?

Comme l’écrit Android Central, l’éditeur de logiciels Mysk a déconseillé à ses utilisateurs d’avoir recours à cette synchronisation des codes. En analysant le trafic réseau durant cette synchronisation, l’entreprise a trouvé que les données en transit n’étaient pas chiffrées de bout en bout. « Cela signifie que Google peut accéder à vos ‘secrets’, probablement même lorsqu’ils sont stockés sur leurs serveurs », écrit Mysk dans un tweet. Le tout sans qu’il ne soit proposé à l’utilisateur d’ajouter une couche de sécurité à la synchronisation, comme un mot de passe.

Si Google venait à subir une cyberattaque, ces données, parce qu’elles sont stockées dans ses serveurs, pourraient être compromises. Les pirates pourraient alors générer de nouveaux codes d’authentification pour se connecter à des comptes qui auraient dû être suffisamment protégés.

Mysk écrit également que Google pourrait utiliser ces données à des fins publicitaires, puisque cela lui permet de connaître les services les plus utilisés (les codes contenant le nom du service et le nom du compte). Mysk recommande donc l’utilisation de Google Authenticator, mais sans la synchronisation des codes.

La réponse de Google : Authenticator va s’améliorer

Pour répondre à cette polémique, le chef de produit de chez Google Christiaan Brand a répondu indirectement à Mysk dans une série de tweets. Il reconnaît l’absence de chiffrement de bout en bout, mais annonce que cette fonctionnalité sera mise en place plus tard, que c’est prévu. L’employé ajoute que Google chiffre les données de toutes ses applications, y compris Google Authenticator.

Par rapport aux dangers que représente cette nouvelle fonctionnalité, il suggère que la balance bénéfice-risque penche dans le bon sens : « nous pensons que notre produit actuel offre un bon équilibre à la plupart des utilisateurs et qu’il présente des avantages significatifs par rapport à l’utilisation hors-ligne ».

Effectivement, cette synchronisation des codes permet d’éviter une éventuelle perte des comptes dans le cas où l’appareil de stockage serait perdu, ou ne fonctionnerait plus. Enfin, cette synchronisation reste facultative.


Si vous voulez recevoir les meilleures actus Frandroid sur WhatsApp, rejoignez cette discussion.

Google Authenticator

Google Authenticator

Les derniers articles