Cette semaine, tout le monde était super jouasse puisque Google Authenticator s’est vu ajouter une fonction permettant de sauvegarder les données 2FA dans le cloud Google et ainsi, en faciliter la restauration qu’on soit sous Android ou iOS.
Alors oui, ça semble super cool surtout pour ceux qui ont peur de perdre leurs données ou qui ont déjà perdu un smartphone. Mais ATTENTION !
Cette nouvelle option soulève pas mal de préoccupations en matière de confidentialité. D’après les chercheurs en sécurité de Mysk, il semblerait que les données ne soient pas chiffrées de bout en bout. Ainsi, Google pourrait voir et stocker les « secrets » (seed 2FA) sur ses serveurs, sans rien pour sécuriser ces informations.
C’est hyper inquiétant, car chaque code QR 2FA contient un secret qui est utilisé pour générer ces codes 2FA à usage unique. Si quelqu’un de mal intentionné obtient ce secret, il peut très facilement contourner la protection 2FA.
Le drame illustré en 3 actes :
Et même si je ne doute pas de la sécurité des serveurs chez Google, on sait tous que même les entreprises les plus préparées subissent parfois des fuites de données.
D’ailleurs, dans ce backup en route vers le cloud Google, on trouve également d’autres informations, telles que le nom du compte et le nom du service. Comme Google peut y accéder en clair, ils savent donc exactement quels services en ligne vous utilisez. Go la pub personnalisée !!
Et si vous demandez à Google un export de vos données personnelles, vous ne trouverez pas de trace de ces fameux secrets 2FA. Bref, j’ai l’impression qu’il sont tombés derrière l’armoire.
Les chercheurs conseillent donc de désactiver cette fonctionnalité de synchronisation jusqu’à ce que le chiffrement de bout en bout soit effectif (avec phrase de passe donc…)
Bref, maintenant vous savez. Une personne azerty en vaut deux… (roh roh roh)