Pourquoi la dernière mise à jour Google Authenticator n'est pas une bonne idée pour la sécurité des utilisateurs ?
Vous l'avez peut-être lu ici et là, la dernière mise à jour Google Authenticator estampillée version 6.0 sur les appareils Android et 4.0 sur les appareils iOS, met en place la synchronisation sur le cloud des accès via le compte Google dans l'application. Quant aux articles qui applaudissent ici et là cette nouvelle mise à jour des plus foireuses, ils n'ont strictement rien compris au fond du problème ne voyant là que l'aspect pratique de cette update bidon rétrogradant par la même occasion votre sécurité numérique.
Quelles en sont les conséquences ?
La première, et je pense qu'elle plaira (malheureusement) à bon nombre de ses utilisateurs, est la possibilité de synchroniser ladite application avec votre compte Google en se connectant à son compte au sein de l'application. De cette façon, en cas de perte ou vol de votre appareil où l'application est installée, vous pourrez désormais restaurer toutes vos données Authenticator en vous connectant à votre compte Google.
La seconde, c'est une petite modification visuelle, le changement du logo. Dans l'image d'illustration en haut de page, vous pouvez voir deux logos, à gauche l'ancien et à droite le nouveau. On distingue notamment la mise en place des célèbres couleurs propres à Google. Bon, ça c'est plus ou moins une (importante) nouveauté.
Et la sécurité dans tout ça ?
Elle devient tout simplement caduque et (quasiment) inexistante.
En plus de cela, selon les chercheurs en sécurité Mysk, toutes les données ne sont pas chiffrées de bout-en-bout. Eh oui, Google qui a les yeux plus gros que le ventre est en mesure de connaître les services que vous utilisez et où vous avez activé la double authentification. Rassurez-vous, ils ne peuvent pas tout voir ou presque, mais ils ont quand la facullté de lire en clair le nom du compte en question, ce qui leur ouvre la porte à encore plus de publicité ciblée et personnalisée.
Attendez, attendez, ce n'est pas tout, loin de là, le pire arrive. Chaque fois que vous ajoutez un compte, soit vous flashez un QR code soit vous entrez une seed (une sorte de code secret unique) de façon à ajouter un compte. Alors sachez que cette seed serait apparemment stockée en clair, quiconque accéderait à votre compte serait en mesure de récupérer cette seed et la détourner à des fins malveillantes pour s'authentifier en votre nom. Voyez par vous-même :
Et Troisième conséquence, et pas des moindres c'est la sécurité des accès des utilisateurs enregistrés dans l'application pour leur double authentification. Je ne comprends tout simplement pas, comment Google, une très grande entreprise d'informatique et dont des milliers de comptes e-mails sont piratés chaque jour puissent déployer une fonctionnalité aussi dangereuse que celle-ci, la synchronisation des accès sur le compte Google des utilisateurs.
En effet, il suffit qu'un pirate accède au compte Google d'un utilisateur utilisant cette application pour lui ouvrir les portes de tous ses comptes en ligne. Partons du principe qu'un utilisateur a ajouter la double authentification pour son compte bancaire, Amazon, Facebook, une autre messagerie (dédiée à ses achats en ligne par exemple), etc, dès lors que le pirate accède au compte Google, il pourra restaurer toutes les données de comptes dans l'application Authenticator pour ensuite accéder aussi facilement aux différents comptes utilisateurs en ligne. Il aura bien évidemment besoin du mot de passe principal, là aussi nous partons du principe que c'est votre compte Gmail qui est enregistré, il n'aura qu'à utiliser la fonction "Mot de passe oublié ?" pour réinitialiser ce dernier, se connecter, et valider la connexion avec un code temporaire généré par l'application.
Je déplore cette pseudo nouveauté mettant en péril la sécurité des utilisateurs en ligne. Mais dans ce cas, comment sauvegarder en toute sécurité mes données Google Authenticator ? Je n'ai malheureusement pas assez de recul dans la mesure où je n'utilise pas du tout cette application.
Notez tout de même, sur tous vos comptes en ligne où vous avez activé la double authentification, vous disposez également de codes de secours en cas de perte d'accès à vos codes temporaires (OTP). C'est une option qui devrait être accessible dans les paramètres de sécurité de vos différents comptes en ligne, vous permettant ensuite de sauvegarder ces fameux codes de récupération à usage unique. Là aussi, soyez très vigilant, car dans la majorité des cas ce seul code suffit à lui-même pour accéder au dit compte, ils sont à sauvegarder dans un endroit sûr et sécurisé.
Et enfin, la meilleure façon de protéger votre appareil ayant l'application Google Authenticator d'installée est tout simplement de lui dédier un appareil à cet usage. Nul besoin d'investir dans un smartphone dernier cri, un appareil Android ou iOS d'occasion, bien formaté avant tout usage et qui serait exclusivement dédié à cett utilisation. Laissez donc cet appareil à la maison à l'abri des pertes et vols en extérieur, et accédez à vos comptes en toute sécurité dès lors que vous êtes chez vous, à la maison, en sécurité. Je vous recommande donc de ne pas activer la synchronisation des données et de transférer tous vos comptes vers l'appareil dédié.
Conclusion
Cependant, j'imagine que vous avez aussi la possibilité de ne pas vous authentifier dans l'application Google Authenticator, auquel cas, vos données ne seront pas synchronisées avec votre compte Google et je vous encourage (pour le moment) à ne JAMAIS connecter votre Google dans Google Authenticator. Si vous souhaitez malgré tout activer la synchronisation sur le cloud Google, soyez très vigilant à ne pas vous faire pirater votre compte, et attendez-vous également à recevoir encore plus de pubs personnalisées alors que vous n'avez rien demandé. Je vous invite à lire l'article ci-dessous afin d'adopter une bonne hygiène informatique.
Sources (la troisème source est un billet de blog Google qui ne traite en rien la sécurité de leur mise à jour foireuse) :
Une erreur à signaler ou une suggestion ? Contact.