Google peut voir vos secrets lorsque la synchronisation dans le cloud est activée pour Google Authenticator

google authentificator
google authentificator

Les données ne sont pas chiffrées de bout en bout et sont exposées aux violations

Google a annoncé lundi que son application d’authentification à deux facteurs (2FA) Google Authenticator prend maintenant en charge le synchronisation dans le cloud, ce qui le rend plus convivial à utiliser. Mais les experts recommandent de ne pas l’activer, car cette fonctionnalité ajoute de nouveaux risque de sécurité. Le trafic n’est pas chiffré de bout en bout, ce qui signifie que Google peut voir les secrets, probablement même lorsqu’ils sont stockés sur leurs serveurs. Ils sont également exposés au vol par les acteurs malveillants. Il n’y pas d’option pour ajouter une phrase de passe pour protéger les secrets, afin qu’ils ne soient accessibles qu’à l’utilisateur.

Google Authenticator est un logiciel populaire d’authentification à deux facteurs qui permet de créer des codes pour les processus d’autorisation. Comme la plupart des logiciels d’authentification à deux facteurs basées sur le Web, Authenticator combine des fonctions de connaissance et de possession. Pour accéder à des sites Web ou à des services basés sur le Web, l’internaute saisit son nom d’utilisateur et son mot de passe habituel, puis un code de passe à usage unique (OTP) qui a été envoyé à son appareil par le système et qui a été déclenché par la connexion. Jusqu’à présent, Authenticator ne synchronisait pas les codes entre les appareils d’un client.

Cela signifiait que les clients devaient installer et configurer ces solutions manuellement sur chaque appareil. Mais cette semaine, Google a introduit la prise en charge de la synchronisation des codes d’authentification à deux facteurs via son outil Authenticator. Cette nouvelle fonctionnalité améliore la convivialité de l’application pour les utilisateurs de plusieurs appareils. Les clients de Google peuvent maintenant synchroniser les code entre les appareil iOS et Android. Ainsi, lorsque vous configurez un nouvel appareil et que vous vous connectez à votre compte, Authenticator sera prêt à fonctionner sans nécessiter de processus de configuration propre.

Source