Google: une faille découverte dans l'app d'authentification à deux facteurs

Il faut parfois privilégier la sécurité à la praticité. En début de semaine, le géant californien annonçait une nouvelle fonctionnalité que beaucoup d’utilisateurs attendaient: le recours à Authenticator sur plusieurs appareils en même temps grâce à la synchronisation avec un compte Google.

L’application permettant de générer des codes uniques pour instaurer la double authentification - en plus du mot de passe - sur certains sites web, a donc bénéficié d’une mise à jour qui sur le papier semble très pratique. Surtout si le smartphone utilisé est perdu, ce qui engendre un blocage d’accès au compte.

Une faille alarmante détectée

Des développeurs d’applications et spécialistes en cybersécurité se sont intéressés de plus près au fonctionnement de cette nouvelle fonctionnalité et ont décelé que les données transitées n’étaient pas chiffrées de bout en bout.

"Nous avons testé la fonctionnalité dès que Google l'a publiée. Nous avons réalisé que l'application n'offrait pas d'option pour utiliser une phrase de passe pour protéger les 'secrets'", a déclaré l'expert Tommy Mysk à Gizmodo.

"Cela signifie que Google peut voir les secrets, probablement même lorsqu'ils sont stockés sur leurs serveurs", a écrit l'équipe Mysk sur Twitter, après avoir passé au crible le trafic réseau entre l'app et les serveurs Google. Ainsi, si ces serveurs se retrouvaient un jour compromis, un attaquant pourrait en théorie générer ses propres codes d’authentification et prendre le contrôle de vos comptes associés.

En bref : "Ne l’activez pas"

"L'essentiel: bien que la synchronisation des secrets 2FA entre les appareils soit pratique, cela se fait au détriment de votre vie privée", complète Mysk avant de recommander "d’utiliser l'application sans la nouvelle fonctionnalité de synchronisation pour le moment." Pour l’heure, si l’éventualité d’une intrusion cybercriminelle chez Google reste mince, l’information cruciale à retenir est que cette firme peut accéder à vos données pour identifier les applications que vous utilisez.

"Permettre à un géant de la technologie assoiffé de données comme Google d'établir un graphique de tous les comptes et services de chaque utilisateur n'est pas une bonne chose", martèle Mysk. Christiaan Brand, chef de produit du groupe chez Google, a réagi en annonçant qu’un chiffrement de bout en bout devrait bientôt être prévu pour préserver la confidentialité des données, y compris hors de la vue de Google. En attendant, la solution la plus simple reste de faire un sacrifice en termes de praticité.