Google prévoit d’ajouter un chiffrement de bout en bout à l’outil Authenticator

Google Authenticator obtient enfin un chiffrement de bout en bout. Après que des chercheurs en sécurité aient critiqué l’entreprise pour ne pas l’avoir incluse dans la mise à jour de synchronisation du compte Authenticator, le chef de produit Google, Christiaan Brand Il a répondu sur Twitter en disant que la société a « des plans pour introduire E2EE » à l’avenir.

« Pour le moment, nous pensons que notre produit existant offre le bon équilibre pour la plupart des utilisateurs et offre des avantages significatifs par rapport à une utilisation hors ligne », a écrit Brand. « Cependant, l’option d’utiliser l’application hors ligne restera une alternative pour ceux qui préfèrent gérer leur propre stratégie de sauvegarde. »

Plus tôt cette semaine, Google Authenticator a finalement commencé à donner aux utilisateurs la possibilité de synchroniser les codes d’authentification à deux facteurs avec leurs comptes Google, ce qui facilite grandement la connexion aux comptes sur de nouveaux appareils.

Bien qu’il s’agisse d’un changement bienvenu, il pose également des problèmes de sécurité, car les pirates qui s’introduisent dans le compte Google de quelqu’un pourraient potentiellement accéder à une multitude d’autres comptes. Si la fonctionnalité prend en charge E2EE, les pirates et autres tiers, y compris Google, ne pourront pas voir ces informations.

Les chercheurs en sécurité Misk ont ​​mis en évidence certains de ces risques Dans un post sur Twitter, déclarant qu' »en cas de violation de données ou si quelqu’un accède à votre compte Google, tous vos secrets d’authentification à deux facteurs seront compromis ». Ils ont ajouté que Google peut utiliser les informations associées à vos comptes pour diffuser des annonces personnalisées et ont également conseillé aux utilisateurs de ne pas utiliser la fonction de synchronisation tant que E2EE n’est pas pris en charge.

La marque a rejeté la critique, affirmant que si Google chiffre « les données en transit et au repos, sur nos produits, y compris Google Authenticator », E2EE a « le coût de permettre aux utilisateurs d’avoir leurs propres données sans récupération ». Il n’y a toujours pas de calendrier pour le moment où Google apportera effectivement E2EE à la nouvelle fonctionnalité de synchronisation de compte d’Authenticator, laissant aux utilisateurs la possibilité d’utiliser la fonctionnalité sans E2EE ou de continuer à utiliser Google Authenticator hors ligne.