L'authentification à deux facteurs (2FA ) est le moyen le plus sûr de protéger votre compte contre les mauvais acteurs, du moins jusqu'à ce que les clés de sécurité soient correctement implémentées, et Google Authenticator est l'un des outils les plus utilisés à cette fin. Lundi dernier, Google a déployé deux nouvelles fonctionnalités pour l'application : une nouvelle icône et, surtout, la possibilité de synchroniser les codes 2FA avec votre compte GrandeG . Bien que la fonctionnalité soit pratique et appréciée, il y a une mise en garde : selon les experts en sécurité, vous ne devriez pas l'utiliser . Prenons du recul et essayons de comprendre ce qui se passe. Google Authenticator est une application qui produit des codes OTP (One Time Password) pour l'authentification à deux facteurs et n'a jamais eu la possibilité de se connecter avec votre compte. Avec l'ajout de cette possibilité (non obligatoire, vous pouvez continuer à l'utiliser sans vous connecter), les codes seront synchronisés avec les autres appareils associés à votre compte via les serveurs de Google . Il est important de noter que lorsque vous activez la fonctionnalité, assurez-vous que tous vos appareils compatibles avec Google Authenticator n'ont pas de mots de passe pour les mêmes comptes, car Google Authenticator ne reconnaîtra pas les doublons et ne les fusionnera pas, vous pourriez donc vous retrouver avec tout un gâchis. Pour éviter cela, mettez à jour Google Authenticator sur l'appareil principal et désinstallez-le sur les autres puis réinstallez-le en activant la synchronisation.
Mais maintenant, les chercheurs de Mysk ont ​​découvert que si les clés de sécurité sont cryptées sur les appareils, le trafic qui permet la synchronisation ne l'est pas , ce qui signifie que Google peut les lire. Évidemment, si vous faites confiance à Google, ce n'est pas un problème pour vous, mais pour ceux qui sont attentifs à la sécurité, ça l'est. La maison de Mountain View a immédiatement répondu en précisant que la question est simple : elle ne veut pas qu'en cas de perte de la clé d'accès ou du mot de passe de votre compte Google, vous restiez à l'écart de tout et perdiez vos données sans possibilité de récupération. En effet, Google Password Manager propose aujourd'hui un chiffrement sur l'appareil qui « transforme l'appareil en une clé utilisée pour verrouiller les mots de passe avant qu'ils ne soient enregistrés dans Google Password Manager ». Cependant, « si vous perdez votre clé, vous risquez également de perdre vos mots de passe ». En remarque, la société a également ajouté que les données en transit depuis Authenticator et tous les autres produits Google sont en fait cryptées. Cela dit, Google a promis d'ajouter à l'avenir l'option permettant d'activer le chiffrement de bout en bout pour répondre à ces demandes. Ou vous pouvez continuer à utiliser Google Authenticator sans activer la synchronisation.
Mais maintenant, les chercheurs de Mysk ont ​​découvert que si les clés de sécurité sont cryptées sur les appareils, le trafic qui permet la synchronisation ne l'est pas , ce qui signifie que Google peut les lire. Évidemment, si vous faites confiance à Google, ce n'est pas un problème pour vous, mais pour ceux qui sont attentifs à la sécurité, ça l'est. La maison de Mountain View a immédiatement répondu en précisant que la question est simple : elle ne veut pas qu'en cas de perte de la clé d'accès ou du mot de passe de votre compte Google, vous restiez à l'écart de tout et perdiez vos données sans possibilité de récupération. En effet, Google Password Manager propose aujourd'hui un chiffrement sur l'appareil qui « transforme l'appareil en une clé utilisée pour verrouiller les mots de passe avant qu'ils ne soient enregistrés dans Google Password Manager ». Cependant, « si vous perdez votre clé, vous risquez également de perdre vos mots de passe ». En remarque, la société a également ajouté que les données en transit depuis Authenticator et tous les autres produits Google sont en fait cryptées. Cela dit, Google a promis d'ajouter à l'avenir l'option permettant d'activer le chiffrement de bout en bout pour répondre à ces demandes. Ou vous pouvez continuer à utiliser Google Authenticator sans activer la synchronisation.
Plus d'actualités dans cette catégorie