2FA : la synchronisation Cloud de Google Authenticator fait polémique

Google vient d’annoncer la synchronisation, via le cloud, pour Authenticator, d’un terminal à l’autre. L’implémentation de cette fonctionnalité très attendue fait déjà grincer des dents. 

C’était, historiquement, l’un des points douloureux de l’utilisation de Google Authenticator pour la gestion de l’authentification à double facteur (2FA) : impossible de transférer de manière transparente ses configurations d’un appareil à l’autre. À la clé, donc, le devoir de reconfigurer la 2FA pour chacun de ses comptes au moindre changement de terminal. 

L’annonce de Google ne manquera pas d’en ravir plus d’un. Mais pas tous, à commencer par les experts réputés Graham Cluley et Matthew Green. Le premier recommande même sans ambages de ne pas activer cette nouvelle fonction de synchronisation. 

L’explication est à chercher du côté des développeurs de Mysk : « nous avons analysé le trafic réseau lorsque l’application synchronise les secrets, et il s’avère que le trafic n’est pas chiffré de bout en bout ». 

Autrement dit, « cela signifie que Google peut voir les secrets, probablement même lorsqu’ils sont stockés sur leurs serveurs. Il n’y a pas d’option permettant d’ajouter une phrase de passe pour protéger les secrets, afin qu’ils ne soient accessibles qu’à l’utilisateur ».

Car les codes QR utilisés pour configurer la 2FA sur un compte contiennent bien un secret : la graine – ou seed, en anglais, littéralement – utilisée pour générer les codes numériques à usage unique (OTP, One-Time-Password) et à durée de vie limitée : « si quelqu’un d’autre connaît le secret, il peut générer les mêmes codes à usage unique et contourner les protections 2FA. Par conséquent, en cas de violation de données ou si quelqu’un accède à votre compte Google, tous vos secrets 2FA seront compromis ».