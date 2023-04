Un groupe de chercheurs spécialisés en cybersécurité a découvert que la nouvelle fonction de Google Authenticator n’est pas aussi sécurisée qu’elle devrait l’être.

Google Authenticator est l’application Google qui vous permet de gérer les codes de vérification en deux étapes à partir de n’importe quel appareil

Il a fallu plusieurs années à Google pour mettre à jour son application d’authentification en deux étapes et introduire l’une des fonctions les plus attendues par les utilisateurs : la possibilité de synchroniser les codes à usage unique avec le compte Google, afin qu’il soit possible d’y accéder via n’importe quel appareil associé avec le même compte, tant que l’application est installée.

Mais, en plus d’être en retard, il a mal fait. Comme l’a révélé un groupe de chercheurs spécialisés en cybersécuritél’option qui vous permet de synchroniser les codes à usage unique avec votre compte Google ne dispose pas de l’une des mesures de sécurité essentielles que toute application de ce type devrait inclure, et pour cette raison, il est recommandé de garder cette option désactivée, au moins jusqu’à Let Google fournit une solution.

La fonctionnalité de synchronisation de Google Authenticator n’inclut pas le chiffrement de bout en bout

Après que Google ait activé l’option de synchronisation des codes de vérification en deux étapes entre plusieurs appareils via un compte Google, les chercheurs ont décidé de vérifier si les mesures de sécurité prises par Google étaient suffisantes.

Après avoir approfondi le fonctionnement de ce système de synchronisation en analysant le trafic réseau généré par l’application, il a été découvert que le contenu envoyé n’est pas crypté de bout en bout.

Cela indique que Google peut lire le contenu et que des tiers éventuellement connectés au même réseau pourraient intercepter les informations nécessaires pour générer de nouveaux codes et ainsi accéder aux comptes des utilisateurs.

Bien que plusieurs conditions doivent être remplies pour que les codes de vérification des utilisateurs soient compromis (les chercheurs disent qu’une violation de données ou que quelqu’un s’introduit dans votre compte Google devrait se produire), il est actuellement recommandé d’éviter les risques et de désactiver l’option de synchronisation récemment introduite dans Google Authenticator, ou utilisez une application alternative qui stocke en toute sécurité les codes de vérification en deux étapes.

Google répond à la polémique

Au vu des informations révélées par les chercheurs de Mysk, un représentant de Google, Chef de produit Christian Brand a confirmé sur Twitter que Google a l’intention d’ajouter à l’avenir un chiffrement de bout en bout dans Google Authenticator**, et qu’à ce jour, il a préféré offrir une expérience équilibrée aux utilisateurs, ce qui offre des avantages significatifs par rapport à l’utilisation de l’application sans en utilisant la synchronisation.

Malgré cela, il explique que l’option d’utiliser Authenticator sans synchroniser les codes est toujours disponible pour tous ceux qui préfèrent gérer manuellement les copies de sauvegarde de leurs codes.



