Google Authenticator : pas de chiffrement de bout en bout pour la sauvegarde en nuage

Google Authenticator, l’application de génération de mots de passe à usage unique pour la double authentification, ne chiffre pas les données de sauvegarde en nuage de bout en bout, selon une enquête menée par des chercheurs en sécurité. Les données de sauvegarde sont stockées sur les serveurs de Google, ce qui signifie que les utilisateurs peuvent perdre l’accès à leurs comptes si leur appareil est endommagé ou perdu. Google a répondu à ces préoccupations en annonçant que l’application sera bientôt dotée d’un chiffrement de bout en bout.

Google ajoute une encryption de bout-en-bout sur Google Authenticator — https://www.bleepingcomputer.com/news/google/google-will-add-end-to-end-encryption-to-google-authenticator/Crédits image : BleepingComputer

Comme le précise le site BleepingComputer, contrairement à d’autres applications de génération de mots de passe à usage unique telles que “Microsoft Authenticator”, Google Authenticator ne disposait pas d’une fonction de sauvegarde sur cloud, mais seulement d’une méthode de sauvegarde basée sur les codes QR. Cela signifiait que les utilisateurs risquaient de perdre l’accès à leurs comptes s’ils perdaient leur appareil.

Cependant, Google a récemment ajouté une fonction de synchronisation des secrets de double authentification entre les appareils iOS et Android des utilisateurs. Cette fonctionnalité permet aux utilisateurs de se connecter avec leur compte Google et de synchroniser les secrets de double authentification entre leurs appareils. Bien que cette fonctionnalité soit utile, elle ne chiffre pas les données de sauvegarde de bout en bout, ce qui signifie que les données peuvent être accessibles à des tiers non autorisés.

Google has just updated its 2FA Authenticator app and added a much-needed feature: the ability to sync secrets across devices.

TL;DR: Don't turn it on.

The new update allows users to sign in with their Google Account and sync 2FA secrets across their iOS and Android devices.… pic.twitter.com/a8hhelupZR
— Mysk 🇨🇦🇩🇪 (@mysk_co) April 26, 2023

Les chercheurs en sécurité de Mysk ont découvert que les données de sauvegarde de Google Authenticator ne sont pas chiffrées de bout en bout lorsqu’elles sont téléchargées sur le cloud. Cela signifie que les données peuvent être accessibles à des tiers non autorisés, ce qui peut compromettre la sécurité des utilisateurs. Les chercheurs ont donc conseillé aux utilisateurs de ne pas utiliser la fonction de sauvegarde sur cloud de Google Authenticator.

(1/4) We’re always focused on the safety and security of @Google users, and the newest updates to Google Authenticator was no exception. Our goal is to offer features that protect users, BUT are useful and convenient.
— Christiaan Brand (@christiaanbrand) April 26, 2023

Google a répondu à ces préoccupations en annonçant que l’application sera bientôt dotée d’un chiffrement de bout en bout pour la fonction de sauvegarde dans le cloud. Cette fonctionnalité permettra aux utilisateurs de sauvegarder leurs données en toute sécurité sur les serveurs de Google sans craindre que leurs données ne soient accessibles à des tiers non autorisés.

Commentaires