Google va ajouter le chiffrement de bout en bout à Google Authenticator
En complément de la synchronisation des codes 2FA dans le Cloud, Google Authenticator va bénéficier d'une autre amélioration : le chiffrement de bout en bout, de façon à mieux protéger les informations synchronisées en ligne. Sur ce coup, on peut remercier les chercheurs en sécurité qui ont tiré la sonnette d'alarme !
En début de semaine, Google a fait l'annonce d'une nouvelle fonctionnalité pour son application Google Authenticator qui a fait des heureux : il est désormais possible de synchroniser ses comptes 2FA avec son compte Google. Ainsi, si l'on change d'appareil ou que l'on effectue une restauration, la configuration peut être restaurée facilement !
Suite à cette annonce, deux chercheurs en sécurité regroupés derrière le pseudo Mysk ont analysé le processus de synchronisation et ils ont découvert que la synchronisation vers les serveurs de Google n'utilise pas de chiffrement bout en bout ! Au sein d'un tweet, on peut lire : "Nous avons analysé le trafic réseau lorsque l'application synchronise les secrets, et il s'avère que le trafic n'est pas chiffré de bout en bout".
De ce fait, Google est en mesure de lire les secrets synchronisés sur ses serveurs...! Et il n'est pas possible d'ajouter une clé secrète permettant de protéger les informations afin qu'elles soient lisibles et accessibles uniquement par l'utilisateur qui détient le secret. L'autre problème, c'est qu'en cas de compromission de votre compte Google, un pirate informatique peut restaurer ces données sans difficulté. Autre argument en faveur du chiffrement de bout en bout pour protéger ces données sensibles.
Les affirmations de Mysk vont dans ce sens : "Chaque code QR 2FA contient un secret qui est utilisé pour générer les codes à usage unique. Si quelqu'un d'autre connaît le secret, il peut générer les mêmes codes à usage unique et déjouer les protections 2FA."
Google va ajouter le chiffrement de bout en bout
Conscient que c'est un réel problème de sécurité (et que ce n'est pas passé inaperçu), Google a réagi ! L'entreprise américaine va ajouter la prise en charge du chiffrement de bout en bout dans une prochaine version de Google Authenticator. Pourtant, ce n'était pas gagné, car officiellement, ce qui freine Google c'est le fait que l'utilisateur ne puisse pas récupérer ses données s'il perd la fameuse clé secrète... Pourtant, c'est déjà possible dans Google Chrome.
Pour l'heure, il peut s'avérer judicieux d'attendre cette future version d'Authenticator avant d'activer la synchronisation vers le Cloud Google, puisque cela reste facultatif. Sinon, une application comme Authy propose la synchronisation vers le Cloud avec du chiffrement de bout en bout.
