16/12/2024

Mobile

Google va ajouter le chiffrement de bout en bout à Google Authenticator

En complément de la synchronisation des codes 2FA dans le Cloud, Google Authenticator va bénéficier d'une autre amélioration : le chiffrement de bout en bout, de façon à mieux protéger les informations synchronisées en ligne. Sur ce coup, on peut remercier les chercheurs en sécurité qui ont tiré la sonnette d'alarme !

En début de semaine, Google a fait l'annonce d'une nouvelle fonctionnalité pour son application Google Authenticator qui a fait des heureux : il est désormais possible de synchroniser ses comptes 2FA avec son compte Google. Ainsi, si l'on change d'appareil ou que l'on effectue une restauration, la configuration peut être restaurée facilement !

Suite à cette annonce, deux chercheurs en sécurité regroupés derrière le pseudo Mysk ont analysé le processus de synchronisation et ils ont découvert que la synchronisation vers les serveurs de Google n'utilise pas de chiffrement bout en bout ! Au sein d'un tweet, on peut lire : "Nous avons analysé le trafic réseau lorsque l'application synchronise les secrets, et il s'avère que le trafic n'est pas chiffré de bout en bout".

De ce fait, Google est en mesure de lire les secrets synchronisés sur ses serveurs...! Et il n'est pas possible d'ajouter une clé secrète permettant de protéger les informations afin qu'elles soient lisibles et accessibles uniquement par l'utilisateur qui détient le secret. L'autre problème, c'est qu'en cas de compromission de votre compte Google, un pirate informatique peut restaurer ces données sans difficulté. Autre argument en faveur du chiffrement de bout en bout pour protéger ces données sensibles.

Les affirmations de Mysk vont dans ce sens : "Chaque code QR 2FA contient un secret qui est utilisé pour générer les codes à usage unique. Si quelqu'un d'autre connaît le secret, il peut générer les mêmes codes à usage unique et déjouer les protections 2FA."

Google va ajouter le chiffrement de bout en bout

Conscient que c'est un réel problème de sécurité (et que ce n'est pas passé inaperçu), Google a réagi ! L'entreprise américaine va ajouter la prise en charge du chiffrement de bout en bout dans une prochaine version de Google Authenticator. Pourtant, ce n'était pas gagné, car officiellement, ce qui freine Google c'est le fait que l'utilisateur ne puisse pas récupérer ses données s'il perd la fameuse clé secrète... Pourtant, c'est déjà possible dans Google Chrome.

Pour l'heure, il peut s'avérer judicieux d'attendre cette future version d'Authenticator avant d'activer la synchronisation vers le Cloud Google, puisque cela reste facultatif. Sinon, une application comme Authy propose la synchronisation vers le Cloud avec du chiffrement de bout en bout.

Source

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.