Pourquoi la dernière mise à jour Google Authenticator n'est pas une bonne idée pour la sécurité des utilisateurs ?

Vous l'avez peut-être lu ici et là, la dernière mise à jour Google Authenticator estampillée version 6.0 sur les appareils Android et 4.0 sur les appareils iOS, met en place la synchronisation sur le cloud des accès via le compte Google dans l'application. Quant aux articles qui applaudissent ici et là cette nouvelle mise à jour des plus foireuses, ils n'ont strictement rien compris au fond du problème ne voyant là que l'aspect pratique de cette update bidon rétrogradant par la même occasion votre sécurité numérique.

Quelles en sont les conséquences ?

La première, et je pense qu'elle plaira (malheureusement) à bon nombre de ses utilisateurs, est la possibilité de synchroniser ladite application avec votre compte Google en se connectant à son compte au sein de l'application. De cette façon, en cas de perte ou vol de votre appareil où l'application est installée, vous pourrez désormais restaurer toutes vos données Authenticator en vous connectant à votre compte Google.

La seconde, c'est une petite modification visuelle, le changement du logo. Dans l'image d'illustration en haut de page, vous pouvez voir deux logos, à gauche l'ancien et à droite le nouveau. On distingue notamment la mise en place des célèbres couleurs propres à Google. Bon, ça c'est plus ou moins une (importante) nouveauté.

Et la sécurité dans tout ça ?

Elle devient tout simplement caduque et (quasiment) inexistante.

En plus de cela, selon les chercheurs en sécurité Mysk, toutes les données ne sont pas chiffrées de bout-en-bout. Eh oui, Google qui a les yeux plus gros que le ventre est en mesure de connaître les services que vous utilisez et où vous avez activé la double authentification. Rassurez-vous, ils ne peuvent pas tout voir ou presque, mais ils ont quand la facullté de lire en clair le nom du compte en question, ce qui leur ouvre la porte à encore plus de publicité ciblée et personnalisée.

Attendez, attendez, ce n'est pas tout, loin de là, le pire arrive. Chaque fois que vous ajoutez un compte, soit vous flashez un QR code soit vous entrez une seed (une sorte de code secret unique) de façon à ajouter un compte. Alors sachez que cette seed serait apparemment stockée en clair, quiconque accéderait à votre compte serait en mesure de récupérer cette seed et la détourner à des fins malveillantes pour s'authentifier en votre nom. Voyez par vous-même :

Script Python
Logiciel d'extraction héxadécimale
Exemple d'un QR code généré par Google Authenticator

Et Troisième conséquence, et pas des moindres c'est la sécurité des accès des utilisateurs enregistrés dans l'application pour leur double authentification. Je ne comprends tout simplement pas, comment Google, une très grande entreprise d'informatique et dont des milliers de comptes e-mails sont piratés chaque jour puissent déployer une fonctionnalité aussi dangereuse que celle-ci, la synchronisation des accès sur le compte Google des utilisateurs.

En effet, il suffit qu'un pirate accède au compte Google d'un utilisateur utilisant cette application pour lui ouvrir les portes de tous ses comptes en ligne. Partons du principe qu'un utilisateur a ajouter la double authentification pour son compte bancaire, Amazon, Facebook, une autre messagerie (dédiée à ses achats en ligne par exemple), etc, dès lors que le pirate accède au compte Google, il pourra restaurer toutes les données de comptes dans l'application Authenticator pour ensuite accéder aussi facilement aux différents comptes utilisateurs en ligne. Il aura bien évidemment besoin du mot de passe principal, là aussi nous partons du principe que c'est votre compte Gmail qui est enregistré, il n'aura qu'à utiliser la fonction "Mot de passe oublié ?" pour réinitialiser ce dernier, se connecter, et valider la connexion avec un code temporaire généré par l'application.

Le vol de cookies, une nouvelle technique (redoutablement efficace) des pirates pour s’accaparer vos données
Tout savoir sur le vol des cookies, la nouvelle menace redoutablement efficace. Et comment s’en protéger.

Je déplore cette pseudo nouveauté mettant en péril la sécurité des utilisateurs en ligne. Mais dans ce cas, comment sauvegarder en toute sécurité mes données Google Authenticator ? Je n'ai malheureusement pas assez de recul dans la mesure où je n'utilise pas du tout cette application.

Authy, synchronisez vos codes A2F (2FA) sur tous vos appareils
Authy est une application d’authentification à 2 facteurs compatible Windows, macOS, Linux, iOS et Android, permettant de générer vos codes à usage unique. Synchronisez automatiquement vos comptes sur tous vos périphériques, ordinateurs, tablettes et mobiles. Compatible toutes plate-formes.

Notez tout de même, sur tous vos comptes en ligne où vous avez activé la double authentification, vous disposez également de codes de secours en cas de perte d'accès à vos codes temporaires (OTP). C'est une option qui devrait être accessible dans les paramètres de sécurité de vos différents comptes en ligne, vous permettant ensuite de sauvegarder ces fameux codes de récupération à usage unique. Là aussi, soyez très vigilant, car dans la majorité des cas ce seul code suffit à lui-même pour accéder au dit compte, ils sont à sauvegarder dans un endroit sûr et sécurisé.

Et enfin, la meilleure façon de protéger votre appareil ayant l'application Google Authenticator d'installée est tout simplement de lui dédier un appareil à cet usage. Nul besoin d'investir dans un smartphone dernier cri, un appareil Android ou iOS d'occasion, bien formaté avant tout usage et qui serait exclusivement dédié à cett utilisation. Laissez donc cet appareil à la maison à l'abri des pertes et vols en extérieur, et accédez à vos comptes en toute sécurité dès lors que vous êtes chez vous, à la maison, en sécurité. Je vous recommande donc de ne pas activer la synchronisation des données et de transférer tous vos comptes vers l'appareil dédié.

Conclusion

Cependant, j'imagine que vous avez aussi la possibilité de ne pas vous authentifier dans l'application Google Authenticator, auquel cas, vos données ne seront pas synchronisées avec votre compte Google et je vous encourage (pour le moment) à ne JAMAIS connecter votre Google dans Google Authenticator. Si vous souhaitez malgré tout activer la synchronisation sur le cloud Google, soyez très vigilant à ne pas vous faire pirater votre compte, et attendez-vous également à recevoir encore plus de pubs personnalisées alors que vous n'avez rien demandé. Je vous invite à lire l'article ci-dessous afin d'adopter une bonne hygiène informatique.

Quelques bonnes pratiques pour adopter une bonne hygiène informatique
Comment adopter une bonne hygiène informatique ? Découvrez quelques conseils et recommandations, et ainsi éviter de tomber dans ces pièges, souvent désastreux lorsqu’il s’agit de s’attaquer à nos finances.

Sources (la troisème source est un billet de blog Google qui ne traite en rien la sécurité de leur mise à jour foireuse)  :

Tweet des chercheurs en sécurité Mysk
Google leaking 2FA secrets – researchers advise against new “account sync” feature for now
You waited 13 years for this feature in Google Authenticator. Now researchers are advising you to wait a while longer, just in case…
Google Authenticator now supports Google Account synchronization
Christiaan Brand, Group Product Manager We are excited to announce an update to Google Authenticator , across both iOS and Android, which a…
Le billet de blog qui ne sert à rien, mis à part vous informer d'une mise à jour que tout le monde "aurait attendu" avec "impatience" ! Je n'en suis pas si sûr.

Une erreur à signaler ou une suggestion ? Contact.