La liberté offerte par le marché des cryptomonnaies s’accompagne d’un apprentissage très personnel de la sécurité. Car cette responsabilité incombe à l’utilisateur, première faille sur le front de ce combat permanent contre le piratage. Un exercice mené de façon efficace avec l’aide d’outils à double facteur (2FA) dont le principal reste Google Anthenticator. Mais de toute évidence, une faille vient d’y être intégrée.
En effet, parfois à trop vouloir faire mieux on finit par faire pire. Et dans la course au développement des outils destinés à la sécurité numérique sur Internet, cela ne pardonne pas. Car ce qui devait être une simple mise à jour offrant la possibilité de synchroniser les comptes Google se transforme en une potentielle vulnérabilité majeur de piratage pour les utilisateurs de Google Authenticator. Explication…
Google Authenticator – Des utilisateurs plus vulnérables aux piratages
Parfois, certaines idées ou améliorations censées simplifier les choses se résument à ajouter des failles là où il n’y en avait pas auparavant. Et c’est de toute évidence la cas suite à la dernière mise à jour effectuée par Google sur son outil Authenticator. Car une nouvelle fonctionnalité à première vue attrayante permet de « sauvegarder en toute sécurité vos codes à usage unique (également appelés mots de passe à usage unique ou OTP) sur votre compte Google. »
Le problème ? Tout cela sera également stocké sur le Cloud afin de permettre aux utilisateurs ayant perdu leurs téléphones de récupérer ces codes ou de synchroniser un nouveau support. Mais, comme l’explique les spécialistes en cyber-sécurité de la société Mysk, « ne l’installez pas. » Car « en cas de violation de données ou si quelqu’un accède à votre compte Google, tous vos codes 2FA seraient compromis. »
« Nous avons analysé le trafic réseau lorsque l’application synchronise les secrets, et il s’avère que le trafic n’est pas chiffré de bout en bout. Cela signifie que Google peut voir les secrets, probablement même lorsqu’ils sont stockés sur leurs serveurs. Il n’y a pas d’option pour ajouter un mot de passe pour protéger les secrets afin de les rendre accessibles uniquement pour l’utilisateur. »
Car dans les faits il est bien plus simple d’accéder à un compte Cloud qu’à un smartphone. Et comme l’explique u/pojut sur Reddit, le meilleur moyen de sécuriser ses informations de connexion 2FA est carrément de conserver « un appareil séparé (peut-être un ancien téléphone ou une ancienne tablette) dont le seul but dans la vie est d’être utilisé pour l’application d’authentification de votre choix. » Cela sans rien installer d’autre dessus ni même l’utiliser pour une autre fonction.
-
HACKS & SÉCURITÉ1inch : un exploit TrustedVolumes vide 5,9 M$ en ETH et BTC
