Google Authenticator vous permet désormais de synchroniser votre 2FA (authentification à deux facteurs) avec votre compte Google. De cette façon, vous pouvez vous connecter aux applications avec votre compte Google lorsque le téléphone n’est pas disponible. Cependant, les chercheurs en sécurité affirment que cette fonctionnalité pourrait présenter un risque pour la sécurité des utilisateurs.
Google Authenticator est l’une des applications les plus populaires pour définir l’authentification à deux facteurs et recevoir des codes. L’application est gratuite, fiable et prise en charge par Google. Dans une récente mise à jour, Google a résolu l’une des principales préoccupations des utilisateurs en leur permettant de synchroniser l’application Authenticator avec leur compte Google.
La société affirme que cette fonctionnalité rendrait « les codes à usage unique plus durables en les stockant en toute sécurité dans les comptes Google des utilisateurs ». Les codes 2FA seront sauvegardés en toute sécurité dans le compte Google. Ils seront facilement accessibles lorsque vous perdez votre téléphone ou que vous souhaitez configurer un nouvel appareil.
Bien sûr, Google vous permet toujours d’utiliser l’application Authenticator sans la synchroniser avec votre compte Google. De plus, l’application a une nouvelle icône et des modifications de conception pour une meilleure expérience utilisateur.
Les chercheurs en sécurité mettent en garde contre la synchronisation de l’application Google Authenticator avec le compte Google
Bien que cette fonctionnalité puisse être plus pratique pour les utilisateurs, les chercheurs en sécurité de la société de logiciels Mysk affirment que le trafic dans l’application Authenticator n’est pas crypté de bout en bout. Cela signifie qu’un tiers, comme un employé de Google, pourrait voir les codes 2FA que vous utilisez pour vous connecter aux comptes. Les choses pourraient empirer si un cybercriminel pouvait accéder à votre compte Google.
Les chercheurs de Mysk ajoutent en outre que les codes 2FA contiennent d’autres informations telles que les noms de compte et de service. Google pourrait utiliser ces données pour personnaliser les annonces. Bien sûr, les chercheurs disent : « Les exportations de données Google n’incluent pas les secrets 2FA qui sont stockés dans le compte Google de l’utilisateur. Nous avons téléchargé toutes les données associées au compte Google que nous avons utilisé et nous n’avons trouvé aucune trace des secrets 2FA.
En réponse aux chercheurs de Mysk, le chef de produit de Google pour l’identité et la sécurité Marque chrétienne, ont indiqué qu’ils chiffrent les données dans tous les produits, y compris l’application Authenticator. Cependant, il dit que E2EE [end-to-end encryption] pourrait empêcher les utilisateurs d’accéder à leurs propres données sans récupération. C’est pourquoi Google a commencé à déployer l’E2EE en option pour certains de ses produits. L’authentificateur obtiendrait également la fonctionnalité bientôt.
« À l’heure actuelle, nous pensons que notre produit actuel trouve le bon équilibre pour la plupart des utilisateurs et offre des avantages significatifs par rapport à une utilisation hors ligne. » Marque ajoutée. « Cependant, la possibilité d’utiliser l’application hors ligne restera une alternative pour ceux qui préfèrent gérer eux-mêmes leur stratégie de sauvegarde. »