2FA, l’une des applications les plus importantes pour la sécurité de votre propre monde en ligne, a apparemment du mal à garder secret le deuxième facteur.

Google est une entreprise énorme et presque omniprésente. Tout aussi répandue est l’application à deux facteurs de Google « Google Authenticator », qui a récemment reçu une fonctionnalité tant attendue : la synchronisation des comptes. Cependant, cela pourrait sécuriser de manière inattendue vos secrets pour plus d’appareils que vous ne le souhaitez.

2FA : Même les génies de l’entreprise n’aident pas contre les erreurs

Google emploie des centaines de génies et légendes de la scène informatique tels que Rob Pike, Larry Page, Lars Rasmussen et Kathy Pham sont ou ont été sur la liste de paie. Mais même l’une des densités de génie les plus élevées ne protège pas contre les erreurs de débutant lors du transfert de secrets 2FA.

Les développeurs iOS et les chercheurs en sécurité de Mysk (connus, entre autres, pour le grand écart VPN iOS de l’année précédente) ont maintenant découvert que Google n’utilise pas de cryptage de bout en bout lors de la sauvegarde de vos informations et transmet simplement le données en texte clair.

Ce qui aggrave la situation, c’est que les URL contenant les secrets contiennent généralement aussi le nom du site, parfois même le nom du compte.

« C’est juste le deuxième facteur »

On pourrait maintenant être enclin à rejeter ce problème avec l’authentificateur 2FA comme sans importance. Mais quelqu’un qui surveille votre réseau (par exemple via une attaque MITM persistante, comme cela est souvent utilisé dans les grandes entreprises) peut l’utiliser pour puiser dans l’un de vos facteurs. Si vous avez maintenant un mot de passe qui peut être trouvé via l’ingénierie sociale, vous avez rapidement un sérieux problème.

Ce qu’il faut faire?

Ignorez la fonctionnalité de synchronisation de mot de passe Google et passez à un authentificateur open source comme :

• Égide (Android)
• Authentificateur Pro (Android)
• FreeOTP (Android/iOS)
• Mauth (Android)

Si la synchronisation des mots de passe de Google était active, il serait important de noter que vous devez supprimer l’authentificateur du compte et passer à un compte sécurisé.

2FA reste un sujet important

Qu’il s’agisse d’Amazon, de Tarnkappe.info ou de Google lui-même ; 2FA est et sera toujours une partie importante du paysage en ligne. Ce n’est pas la façon de traiter les informations les plus précieuses de vos utilisateurs. Surtout pas si les utilisateurs comptent sur la sécurité de l’application.