Discussion :

[Bill Fassinou]

Google Authenticator synchronisera désormais tous les codes d'authentification à deux facteurs qu'il génère avec le compte Google de l'utilisateur
mais cela ajoute un nouveau risque de sécurité

Google Authenticator vient de recevoir une mise à jour qui devrait le rendre plus utile pour les personnes qui utilisent fréquemment le service pour se connecter à des applications et des sites Web. Google Authenticator synchronisera désormais tous les codes d'authentification à deux facteurs (2FA) qu'il génère avec le compte Google des utilisateurs. Auparavant, ils étaient stockés localement, sur un seul appareil, ce qui signifiait que la perte de cet appareil entraînait souvent la perte de la possibilité de se connecter à n'importe quel service configuré avec l'authentification à deux facteurs d'Authenticator. La fonctionnalité était attendue de longue date par les utilisateurs.

Google Authenticator est une application de sécurité mobile basée sur l'authentification à deux facteurs (2FA) qui permet de vérifier l'identité des utilisateurs avant de leur accorder l'accès à des sites Web et à des services. Comme la plupart des applications d'authentification à deux facteurs basées sur le Web, Google Authenticator combine des fonctions de connaissance et de possession. Pour accéder à des sites Web ou à des services basés sur le Web, l'internaute saisit son nom d'utilisateur et son mot de passe habituel, puis un code de passe à usage unique (OTP) qui a été envoyé à son appareil par le système et qui a été déclenché par la connexion.

Cette combinaison permet de vérifier que la personne qui saisit les données de connexion sur le site est en possession de l'appareil sur lequel l'application Google Authenticator a été téléchargée. Cependant, bien que le service fonctionne relativement bien depuis son lancement, il est régulièrement critiqué par les développeurs et les utilisateurs pour l'absence de certaines fonctionnalités, notamment la synchronisation dans le cloud. La synchronisation dans le cloud est devenue courante dans d'autres outils d'authentification à deux facteurs comme Authy, mais Google a vraiment traîné les pieds pour l'apporter à Authenticator, qui a été lancé en 2010.

Mais c'est désormais chose faite. À partir de ce lundi 24 avril 2023, Google Authenticator répond à cette demande de longue date : vous pouvez désormais synchroniser vos codes d'authentification à deux facteurs avec votre compte Google. Par conséquent, lorsque vous configurez un nouveau téléphone et que vous vous connectez à votre compte, Google Authenticator sera prêt à fonctionner sans nécessiter de processus de configuration propre. Cela signifie également que si vous perdez votre téléphone ou s'il est volé, vous pourrez vous reconnecter à vos comptes à partir d'un autre appareil, ce qui sera beaucoup moins éprouvant pour vos nerfs.

Dans un billet de blogue publié lundi, Christiaan Brand, de Google, a expliqué les raisons pour lesquelles la firme de Mountain View a finalement décidé de satisfaire la demande des utilisateurs. Voici ci-après l'intégralité de son billet de blogue :

Nous sommes heureux d'annoncer une mise à jour de Google Authenticator, à la fois sur iOS et Android, qui ajoute la possibilité de sauvegarder en toute sécurité vos codes à usage unique (également connus sous le nom de mots de passe à usage unique ou OTP) sur votre compte Google.

Pour tous vos comptes en ligne, la connexion est la porte d'entrée vers vos informations personnelles. C'est également le principal point d'entrée pour les risques, d'où l'importance de le protéger.

Nous simplifions et sécurisons la connexion à Google, ainsi qu'à tous les services et applications que vous appréciez, grâce à des outils d'authentification intégrés tels que Google Password Manager et Sign in with Google, ainsi qu'à des protections automatiques telles que des alertes en cas d'accès à votre compte Google à partir d'un nouvel appareil.

Google Authenticator a été lancé en 2010. Il s'agit d'un moyen simple et gratuit permettant aux sites d'ajouter l'authentification à deux facteurs (2FA), qui renforce la sécurité des utilisateurs lors de la connexion. Bien que nous aspirions à un avenir sans mot de passe, les codes d'authentification restent aujourd'hui un élément important de la sécurité sur Internet. C'est pourquoi nous avons continué à optimiser l'application Google Authenticator.

Au fil des ans, les utilisateurs nous ont fait part d'un problème majeur : la complexité de la gestion des appareils perdus ou volés sur lesquels Google Authenticator est installé. Les codes à usage unique d'Authenticator n'étant stockés que sur un seul appareil, la perte de cet appareil signifiait que les utilisateurs perdaient la possibilité de se connecter à tous les services pour lesquels ils avaient configuré 2FA à l'aide d'Authenticator.

Avec cette mise à jour, nous apportons une solution à ce problème, en rendant les codes à usage unique plus durables en les stockant en toute sécurité dans le compte Google des utilisateurs. Ce changement signifie que les utilisateurs sont mieux protégés contre le verrouillage et que les services peuvent compter sur le fait que les utilisateurs conservent leur accès, ce qui améliore à la fois la commodité et la sécurité.

Outre les codes à usage unique d'Authenticator, Google propose depuis longtemps plusieurs options d'authentification sécurisée sur le Web. Google Password Manager enregistre vos mots de passe en toute sécurité et vous aide à vous connecter plus rapidement avec Android et Chrome, tandis que Sign in with Google permet aux utilisateurs de se connecter à un site ou à une application à l'aide de leur compte Google. Nous avons également travaillé avec nos partenaires industriels et l'alliance FIDO pour proposer aux utilisateurs des offres d'authentification encore plus pratiques et plus sûres sous la forme de passkeys.

Pour essayer le nouvel Authenticator avec synchronisation du compte Google, il suffit de mettre à jour l'application et de suivre les instructions.

Mettre la technologie à la portée de tous, c'est protéger tous ceux qui l'utilisent. Nous sommes ravis de continuer à développer et à partager des offres pratiques et sécurisées pour les utilisateurs et les développeurs sur l'ensemble du Web.

Pour activer la synchronisation dans le cloud des codes à deux facteurs, vous devez mettre à jour la dernière version de Google Authenticator pour Android et iOS. Google propose une page d'assistance qui détaille la fonctionnalité et confirme que si vous êtes connecté à votre compte Google dans Google Authenticator, vos codes seront automatiquement sauvegardés et restaurés sur tout nouvel appareil que vous utiliserez. Les utilisateurs, notamment les équipes d'assistance informatique du monde entier ont sans doute poussé un énorme soupir, car il s'agissait d'une mesure indispensable pour faciliter l'utilisation des codes à usage unique.

Google Authenticator et d'autres applications de ce type constituent une option bien plus sûre que les codes SMS. Cependant, il est important de noter que la commodité de la synchronisation dans le cloud s'accompagne potentiellement d'un risque supplémentaire. Cela pourrait rendre le ciblage des comptes Google encore plus tentant pour les acteurs malveillants. Si vous parvenez à vous introduire dans un compte, vous pourriez avoir accès à un grand nombre de comptes sensibles. Kimberly Samra, porte-parole de Google, a confirmé que la synchronisation dans le cloud n'est pas activée par défaut et qu'elle était totalement facultative.

Mais si vous l'activez, ne vous attendez pas à des précautions de sécurité supplémentaires par rapport aux mesures standard de Google. Pour empêcher les invités indésirables d'entrer, Authy dispose d'un mot de passe unique pour restaurer les sauvegardes à deux facteurs et d'un bouton permettant d'autoriser (ou d'empêcher) l'utilisation de plusieurs appareils pour un même compte. Avec cette mise à jour, l'application Google Authenticator adopte également un nouveau logo, abandonnant l'aspect terne du coffre-fort pour un astérisque aux couleurs de Google.

Source : Google

Et vous ?

Quel est votre avis sur le sujet ?
Que pensez-vous de la mise à jour de Google Authenticator ?

Voir aussi

GitHub rendra obligatoire l'authentification à deux facteurs pour tous les développeurs d'ici fin 2023, la mesure touchera en premier des groupes d'utilisateurs spécialement sélectionnés

La FTC inflige une amende de 150 millions de dollars à Twitter pour avoir utilisé des numéros de téléphone 2FA à des fins de ciblage publicitaire, Twitter est également soumis à d'autres exigences

Quelles sont les applications d'authentification les plus populaires du point de vue de la sécurité ? Microsoft Authenticator arrive en tête, suivi de Google Authenticator et de Twilio Authy

[Aiekick]

Super... donc plus du tout secure...

heureusement l'algo derriere est publique..

[Bill Fassinou]

Google peut voir vos secrets lorsque la synchronisation dans le cloud est activée pour Google Authenticator
les données ne sont pas chiffrées de bout en bout et sont exposées aux violations

Google a annoncé lundi que son application d'authentification à deux facteurs (2FA) Google Authenticator prend maintenant en charge le synchronisation dans le cloud, ce qui le rend plus convivial à utiliser. Mais les experts recommandent de ne pas l'activer, car cette fonctionnalité ajoute de nouveaux risque de sécurité. Le trafic n'est pas chiffré de bout en bout, ce qui signifie que Google peut voir les secrets, probablement même lorsqu'ils sont stockés sur leurs serveurs. Ils sont également exposés au vol par les acteurs malveillants. Il n'y pas d'option pour ajouter une phrase de passe pour protéger les secrets, afin qu'ils ne soient accessibles qu'à l'utilisateur.

Google Authenticator est un logiciel populaire d'authentification à deux facteurs qui permet de créer des codes pour les processus d'autorisation. Comme la plupart des logiciels d'authentification à deux facteurs basées sur le Web, Authenticator combine des fonctions de connaissance et de possession. Pour accéder à des sites Web ou à des services basés sur le Web, l'internaute saisit son nom d'utilisateur et son mot de passe habituel, puis un code de passe à usage unique (OTP) qui a été envoyé à son appareil par le système et qui a été déclenché par la connexion. Jusqu'à présent, Authenticator ne synchronisait pas les codes entre les appareils d'un client.

Cela signifiait que les clients devaient installer et configurer ces solutions manuellement sur chaque appareil. Mais cette semaine, Google a introduit la prise en charge de la synchronisation des codes d'authentification à deux facteurs via son outil Authenticator. Cette nouvelle fonctionnalité améliore la convivialité de l'application pour les utilisateurs de plusieurs appareils. Les clients de Google peuvent maintenant synchroniser les code entre les appareil iOS et Android. Ainsi, lorsque vous configurez un nouvel appareil et que vous vous connectez à votre compte, Authenticator sera prêt à fonctionner sans nécessiter de processus de configuration propre.

Mais, bien que de nombreux utilisateurs aient déjà activé la fonction, les experts conseillent de la désactiver pour l'instant. Voici pourquoi : l'analyse du trafic réseau a révélé que les données, qui contiennent des informations très sensibles, ne sont pas chiffrées de bout en bout, ce qui signifie que Google, et probablement aussi toute personne ayant accès au compte Google, peut avoir accès aux secrets. Ici, le secret est la "graine" utilisée pour générer les codes à usage unique. Il est essentiel pour l'authentification à deux facteurs. En d'autres termes, toute personne ayant accès au secret peut créer des codes à usage unique pour le service lié.

Souvent, des informations sur le service lié et un nom de compte peuvent également être présents dans les données. Le problème a été découvert et rendu public par un groupe de deux chercheur en cybersécurité appelé Mysk. « Nous avons analysé le trafic réseau lorsque l'application synchronise les secret, et il s'avère que le trafic n'est pas chiffré de bout en bout. Cela signifie que Google peut voir les secrets, probablement même lorsqu'ils sont stockés sur leurs serveurs. Et il n'y aucune option permettant d'ajouter une phrase de passe pour protéger les secrets, afin qu'ils ne soient accessibles qu'à l'utilisateur », a écrit le groupe de chercheurs.

Selon les chercheur, un autre problème qui pourrait se poser est que Google pourrait fournir les informations lorsque la loi l'exige. Avec le chiffrement de bout en bout activé, Google ne serait pas en mesure de fournir les informations demandées. Ils recommandent de garder l'option de synchronisation désactivée pour l'instant, au détriment de la commodité, afin de garder les données sécurisées et à l'abri des regards indiscrets. Google pourrait, à un moment donné, introduire une phrase de passe que les utilisateurs peuvent spécifier pour protéger les données lorsqu'elles sont transférées vers les serveurs cloud de l'entreprise.

Google Authenticator et d'autres applications de ce type constituent une option bien plus sûre que les codes SMS. Cependant, il est important de noter que la commodité de la synchronisation dans le cloud s'accompagne potentiellement d'un risque supplémentaire. Cela pourrait rendre le ciblage des comptes Google encore plus tentant pour les acteurs malveillants. Si vous parvenez à vous introduire dans un compte, vous pourriez avoir accès à un grand nombre de comptes sensibles. Kimberly Samra, porte-parole de Google, a confirmé que la synchronisation dans le cloud n'est pas activée par défaut et qu'elle était totalement facultative.

Mais si vous l'activez, ne vous attendez pas à des précautions de sécurité supplémentaires par rapport aux mesures standard de Google. Pour empêcher les invités indésirables d'entrer, Authy dispose d'un mot de passe unique pour restaurer les sauvegardes à deux facteurs et d'un bouton permettant d'autoriser (ou d'empêcher) l'utilisation de plusieurs appareils pour un même compte.

« En résumé, bien que la synchronisation des secrets 2FA entre les appareils soit pratique, elle se fait au détriment de votre vie privée. Heureusement, Google Authenticator offre toujours la possibilité d'utiliser le logiciel sans se connecter ni synchroniser les secrets. Pour l'instant, nous vous recommandons d'utiliser l'application sans la nouvelle fonctionnalité de synchronisation », a écrit le groupe.

Source : billet de blogue

Et vous ?

Quel est votre avis sur le sujet ?
Que pensez-vous du problème découvert par les chercheurs ?
Selon vous, s'agit-il d'une erreur d'implémentation ou d'un choix délibéré de Google de ne pas chiffrer les données ?

Voir aussi

Google Authenticator synchronisera désormais tous les codes d'authentification à deux facteurs qu'il génère avec le compte Google de l'utilisateur, mais cela ajoute un nouveau risque de sécurité

Quelles sont les applications d'authentification les plus populaires du point de vue de la sécurité ? Microsoft Authenticator arrive en tête, suivi de Google Authenticator et de Twilio Authy

La FTC inflige une amende de 150 millions de dollars à Twitter pour avoir utilisé des numéros de téléphone 2FA à des fins de ciblage publicitaire, Twitter est également soumis à d'autres exigences

[Sandra Coret]

Google prévoit d'ajouter le chiffrement de bout en bout à Authenticator, suite aux critiques

Après que des chercheurs en sécurité ont critiqué Google pour ne pas avoir inclus le chiffrement de bout en bout dans la mise à jour de synchronisation des comptes d'Authenticator, l'entreprise a annoncé qu'elle prévoyait d'offrir le chiffrement de bout en bout à l'avenir

Christiaan Brand, chef de produit chez Google, a déclaré sur Twitter :

Pour l'instant, nous pensons que notre produit actuel trouve le bon équilibre pour la plupart des utilisateurs et offre des avantages significatifs par rapport à l'utilisation hors ligne. Cependant, l'option d'utiliser l'application hors ligne restera une alternative pour ceux qui préfèrent gérer eux-mêmes leur stratégie de sauvegarde.

En début de semaine, Google Authenticator a enfin offert aux utilisateurs la possibilité de synchroniser les codes d'authentification à deux facteurs avec leurs comptes Google, ce qui facilite grandement la connexion aux comptes sur de nouveaux appareils. Bien que ce changement soit le bienvenu, il pose également quelques problèmes de sécurité, car les pirates qui s'introduisent dans le compte Google d'une personne peuvent potentiellement avoir accès à une multitude d'autres comptes. Si la fonction prenait en charge l'E2EE, les pirates et autres tiers, y compris Google, ne pourraient pas voir ces informations.

Les chercheurs en sécurité Mysk ont mis en évidence certains de ces risques dans un message publié sur Twitter, notant que "si jamais il y a une violation de données ou si quelqu'un obtient l'accès à votre compte Google, tous vos secrets 2FA seraient compromis". Ils ont ajouté que Google pourrait potentiellement utiliser les informations liées à vos comptes pour diffuser des publicités personnalisées et ont également conseillé aux utilisateurs de ne pas utiliser la fonction de synchronisation jusqu'à ce qu'elle prenne en charge l'E2EE. La société Brand a répondu aux critiques en déclarant que si Google chiffre "les données en transit et au repos dans tous ses produits, y compris dans Google Authenticator", l'application de l'E2EE a pour prix de "permettre aux utilisateurs de se retrouver bloqués dans leurs propres données sans pouvoir les récupérer".

(3/4) To make sure we’re offering users a full set of options, we’ve started rolling out optional E2E encryption in some of our products, and we have plans to offer E2EE for Google Authenticator down the line.

— Christiaan Brand (@christiaanbrand) April 26, 2023

Et vous ?

Qu'en pensez-vous ?

Voir aussi :

Google Authenticator synchronisera désormais tous les codes d'authentification à deux facteurs qu'il génère avec le compte Google de l'utilisateur, mais cela ajoute un nouveau risque de sécurité

Google peut voir vos secrets lorsque la synchronisation dans le cloud est activée pour Google Authenticator, les données ne sont pas chiffrées de bout en bout et sont exposées aux violations