Le risque de la nouvelle sauvegarde dans le nuage de Google pour l’authentification 2FA

Google a publié une mise à jour de sa célèbre application d’authentification qui stocke un « code à usage unique » dans le nuage, ce qui permet aux utilisateurs qui ont perdu l’appareil sur lequel se trouvait leur authentificateur de conserver l’accès à leur authentification à deux facteurs (2FA).

Dans un billet de blog du 24 avril annonçant la mise à jour, Google a indiqué que les codes à usage unique seraient stockés dans le compte Google de l’utilisateur, affirmant que les utilisateurs seraient « mieux protégés contre le verrouillage » et que cela augmenterait « la commodité et la sécurité ».

Dans un post Reddit du 26 avril sur le forum r/Cryptocurrency, le Redditor u/pojut a écrit que si la mise à jour aide ceux qui perdent l’appareil sur lequel se trouve leur application d’authentification, elle les rend également plus vulnérables aux pirates informatiques.

En la sécurisant dans le stockage en nuage associé au compte Google de l’utilisateur, cela signifie que quiconque peut accéder au mot de passe Google de l’utilisateur obtiendrait ensuite un accès complet aux applications liées à l’authentificateur.

L’utilisateur a suggéré qu’un moyen potentiel de contourner le problème du SMS 2FA est d’utiliser un vieux téléphone qui sert exclusivement à héberger l’application de l’authentificateur.

« Je vous conseille vivement, si possible, d’avoir un appareil séparé (un vieux téléphone ou une vieille tablette) dont le seul but est d’être utilisé pour l’application d’authentification de votre choix. Ne gardez rien d’autre dessus et ne l’utilisez pour rien d’autre ».

De même, les développeurs de cybersécurité Mysk se sont rendus sur Twitter pour mettre en garde contre les complications supplémentaires liées à la solution 2FA de Google, basée sur le stockage dans le nuage.

Cela pourrait s’avérer être un problème important pour les utilisateurs qui utilisent Google Authenticator pour se connecter à leurs comptes d’échange de crypto-monnaies et à d’autres services liés à la finance.

Autres problèmes de sécurité liés à 2FA

Le piratage 2FA le plus courant est un type d’usurpation d’identité connu sous le nom de « SIM swapping », qui consiste pour les escrocs à prendre le contrôle d’un numéro de téléphone en trompant l’opérateur de télécommunications pour qu’il relie le numéro à leur propre carte SIM.

Un exemple récent de ce type d’escroquerie est fourni par une action en justice intentée contre Coinbase, une bourse d’échange de crypto-monnaies basée aux États-Unis, dans laquelle un client affirme avoir perdu « 90 % des économies de sa vie » après avoir été victime d’une telle attaque.

Coinbase elle-même encourage l’utilisation d’applications d’authentification pour le 2FA plutôt que de SMS, décrivant le 2FA par SMS comme la forme d’authentification « la moins sûre ».

Sur Reddit, les utilisateurs ont discuté du procès et ont même proposé que le SMS 2FA soit interdit, bien qu’un utilisateur de Reddit ait noté qu’il s’agit actuellement de la seule option d’authentification disponible pour un certain nombre de services liés à la fintech et aux crypto-monnaies :

« Malheureusement, beaucoup de services que j’utilise n’offrent pas encore Authenticator 2FA. Mais je pense vraiment que l’approche par SMS s’est avérée dangereuse et devrait être interdite. »

La société de sécurité blockchain CertiK a mis en garde contre les dangers de l’utilisation du 2FA par SMS, son expert en sécurité Jesse Leclere déclarant à Cointelegraph que « le 2FA par SMS est mieux que rien, mais c’est la forme la plus vulnérable de 2FA actuellement utilisée ».