GOOGLE PRÉVOIT D’AJOUTER LE CHIFFREMENT DE BOUT EN BOUT À AUTHENTICATOR
Google Authenticator, l’application de vérification en deux étapes de Google, proposera bientôt une fonctionnalité de chiffrement de bout en bout, permettant aux utilisateurs de synchroniser leurs codes d’authentification à deux facteurs en toute sécurité. Cette annonce a été faite par Christiaan Brand, chef de produit chez Google, en réponse à des critiques émises par des chercheurs en sécurité. Selon ces derniers, la nouvelle fonctionnalité de synchronisation de comptes d’Authenticator peut compromettre la sécurité des comptes si elle était détournée par des pirates.
La fonction de synchronisation de comptes, qui a été proposée aux utilisateurs il y a quelques jours, permet de synchroniser les codes d’authentification entre plusieurs appareils pour faciliter l’accès aux comptes protégés par les codes. Cependant, sans chiffrement de bout en bout, les pirates pourraient facilement accéder à ces codes en cas de violation de sécurité du compte Google.
UN BALANCEMENT ENTRE SÉCURITÉ ET UTILISABILITÉ
Dans sa réponse, Brand a déclaré que Google était conscient des risques liés à l’absence de chiffrement de bout en bout. Toutefois, il a également souligné que la nouvelle fonctionnalité permettait de trouver un équilibre entre la sécurité et la convivialité, facilitant ainsi l’accès aux comptes protégés par Authenticator.
Brand a ajouté que la nouvelle fonctionnalité permettrait de sécuriser les données en transit et au repos, mais que l’utilisation du chiffrement de bout en bout peut, dans certains cas, empêcher les utilisateurs de récupérer les données de leur compte en cas de perte d’accès au compte.
L’ajout de chiffrement de bout en bout à Google Authenticator devrait être disponible prochainement, mais pour le moment, les utilisateurs peuvent continuer à profiter de la fonctionnalité de synchronisation des codes sans chiffrement de bout en bout, ou continuer à utiliser l’application hors ligne.
CONSEILS POUR LES UTILISATEURS
Malgré les avantages de la nouvelle fonctionnalité de synchronisation de codes, certains experts en sécurité recommandent aux utilisateurs de ne pas l’utiliser avant que la fonctionnalité de chiffrement de bout en bout ne soit implementée. En effet, toute faille dans la sécurité du compte Google peut potentiellement mettre en danger tous les comptes synchronisés avec l’application.
Les utilisateurs sont donc invités à maintenir une stricte sécurité des comptes, en utilisant des mots de passe forts et en activant la vérification en deux étapes, et à éviter l’utilisation de leur compte Google sur des appareils ou des réseaux Wi-Fi non sécurisés.
Références:
– The Verge: Google Authenticator is getting end-to-end encryption — eventually.
– Twitter: Tweet de Christiaan Brand, chef de produit chez Google
– Twitter: Tweet de Mysk, chercheurs en sécurité
