Google apporte un chiffrement de bout en bout aux sauvegardes cloud de Google Authenticator après que les chercheurs ont mis en garde les utilisateurs contre la synchronisation des codes 2FA avec leurs comptes Google.
Cette semaine, Google Authenticator avait enfin reçu la fonctionnalité tant attendue de pouvoir sauvegarder les jetons 2FA sur le cloud.
Cette nouvelle fonctionnalité permet aux utilisateurs de synchroniser leurs jetons Google Authenticator 2FA avec leur compte Google, fournissant une sauvegarde si leur appareil mobile est perdu ou endommagé.
Il permet également aux utilisateurs d’accéder à leurs jetons 2FA sur plusieurs appareils tant qu’ils sont tous connectés au même compte Google.
Pas de cryptage de bout en bout
Cependant, peu de temps après l’annonce de la synchronisation cloud de Google Authenticator, les chercheurs en sécurité de Mysk ont découvert que les données n’étaient pas chiffrées de bout en bout lors de leur téléchargement sur les serveurs de Google.
« Nous avons analysé le trafic réseau lorsque l’application synchronise les secrets, et il s’avère que le trafic n’est pas crypté de bout en bout », lit-on dans un tweet de Mysk.
« Comme le montrent les captures d’écran, cela signifie que Google peut voir les secrets, probablement même lorsqu’ils sont stockés sur leurs serveurs. Il n’y a pas d’option pour ajouter une phrase secrète pour protéger les secrets, pour les rendre accessibles uniquement par l’utilisateur. »
Le cryptage de bout en bout se produit lorsque les données sont cryptées sur un appareil à l’aide d’un mot de passe connu uniquement du propriétaire avant d’être transmises et stockées sur un autre appareil. Comme ces données sont cryptées, elles ne sont plus accessibles à personne d’autre, même à ceux qui ont accès au serveur sur lequel les données sont stockées.
Comme Google Authenticator n’offre pas de cryptage de bout en bout, les données sont stockées sur le serveur de Google dans un format auquel des utilisateurs non autorisés pourraient potentiellement accéder, que ce soit par une violation de Google ou par un employé peu scrupuleux.
« Chaque code QR 2FA contient un secret, ou une graine, qui est utilisé pour générer les codes à usage unique. Si quelqu’un d’autre connaît le secret, il peut générer les mêmes codes à usage unique et vaincre les protections 2FA », a poursuivi Mysk.
« Ainsi, en cas de violation de données ou si quelqu’un obtient l’accès à votre compte Google, tous vos secrets 2FA seraient compromis. »
Authy, une autre application d’authentification populaire, a gagné en popularité au fil des ans car elle propose des sauvegardes dans le cloud de jetons 2FA chiffrés de bout en bout.
Lors de l’utilisation de cette fonctionnalité sur Authy, les utilisateurs doivent entrer un mot de passe qu’eux seuls connaissent, ce qui entraîne le cryptage de toutes les données téléchargées avant qu’elles ne quittent leur appareil mobile.
De plus, Authy n’autorise pas la sauvegarde des données à moins qu’un mot de passe de cryptage de bout en bout ne soit défini, offrant une meilleure sécurité.
Cependant, cette fonctionnalité présente un risque, car les utilisateurs pourraient être privés de leurs données et incapables de les restaurer sur un autre appareil s’ils perdent le mot de passe.
E2EE arrive sur Google Authenticator
Google a entendu les préoccupations des utilisateurs concernant le manque de cryptage de bout en bout et a déclaré qu’il l’ajouterait à une future version de Google Authenticator.
Christiaan Brand, chef de produit du groupe Google, a déclaré à Breachtrace qu’en raison de la possibilité d’un cryptage de bout en bout empêchant les utilisateurs d’accéder à leurs propres données, ils déploient cette fonctionnalité avec soin dans leurs produits.
« La sécurité et la sûreté de nos utilisateurs sont primordiales pour tout ce que nous faisons chez Google, et c’est une responsabilité que nous prenons au sérieux. La récente mise à jour de l’application Google Authenticator a été réalisée avec cette mission à l’esprit et nous avons pris des mesures prudentes pour nous assurer que nous pouvions l’offrir aux utilisateurs d’une manière qui protège leur sécurité et leur confidentialité, mais qui soit également utile et pratique », a déclaré Brand. Breachtrace.
« Nous chiffrons les données en transit et au repos dans nos produits, y compris dans Google Authenticator. Le chiffrement de bout en bout (E2EE) est une fonctionnalité puissante qui offre des protections supplémentaires, mais au prix de permettre aux utilisateurs d’être bloqués hors de leurs propres données sans récupération. Pour garantir que nous offrons un ensemble complet d’options aux utilisateurs, nous avons également commencé à déployer E2EE en option dans certains de nos produits, et nous prévoyons d’offrir E2EE pour Google Authenticator à l’avenir.
Google fournit également déjà le cryptage E2E dans certains de ses services, tels que Google Chrome, qui vous permet de définir une phrase secrète pour crypter les données synchronisées avec les comptes Google.