Pour la validation en deux étapes, la dernière mise à jour de l'application Google Authenticator apporte une fonctionnalité de synchronisation. Elle permet d'enregistrer les codes de validation générés dans le compte Google de l'utilisateur.

Une telle possibilité répond à une demande de longue date pour faciliter une connexion à des comptes avec de nouveaux appareils. Elle est optionnelle et le recours à Google Authenticator peut toujours se faire sans compte Google. Un impair a cependant été commis par Google dans l'implémentation.

Le chiffrement de bout en bout est prévu

De manière surprenante, il s'avère que le chiffrement de bout en bout n'est pas de la partie. Ce chiffrement de bout en bout est une assurance de sécurité pour le transfert des données et jusque leur stockage sur les serveurs de Google.

Sans calendrier précis, la lacune va être comblée par Google, dont un responsable produit identité et sécurité a précisé que les données sont chiffrées en transit et au repos, comme c'est le cas pour tous les produits du groupe.

" Le chiffrement de bout en bout est une fonctionnalité puissante qui offre des protections supplémentaires, mais au prix d'un verrouillage des données des utilisateurs sans possibilité de récupération. […] Nous avons commencé à déployer le chiffrement de bout en bout en option dans certains de nos produits, et nous prévoyons de le proposer pour Google Authenticator à l'avenir. "

Pour les plus inquiets

L'absence du chiffrement de bout en bout avait été pointée du doigt par des développeurs iOS et chercheurs en sécurité de Mysk. Pour cette raison, ils ont tout simplement conseillé de ne pas activer la synchronisation des codes de validation avec un compte Google. Du moins pour le moment.

google-authenticator-chiffrement-mysk

" Bien que la synchronisation soit pratique, elle se fait au détriment de votre vie privée. " Une allusion à un risque de compromission d'un compte Google via l'exploitation d'une vulnérabilité. Sans compter une visibilité pour Google.