Google Authenticator permet enfin de synchoniser ses codes 2FA dans son cloud
Le 26 avril 2023 à 05h17
1 min
Société numérique
Société
La dernière mise à jour de Google Authenticator ajoute, tant sur iOS que sur Android, « la possibilité de sauvegarder en toute sécurité vos codes à usage unique (également connus sous le nom de mots de passe à usage unique ou OTP) sur votre compte Google », se félicite son Security Blog.
De nombreux utilisateurs s'étaient en effet plaints du fait qu'en cas de perte ou de vol du terminal, il n'existait aucun moyen de récupérer ses codes de double authentification, au risque d'être bloqué, comme le reconnaît Google :
« Les codes à usage unique d'Authenticator n'étant stockés que sur un seul appareil, la perte de cet appareil signifiait que les utilisateurs perdaient la possibilité de se connecter à tous les services pour lesquels ils avaient configuré 2FA à l'aide d'Authenticator. »
La mise à jour permet désormais de pouvoir y accéder depuis son compte Google, « ce qui améliore à la fois la commodité et la sécurité », explique Christiaan Brand, responsable identité et sécurité de chez Google.
Le 26 avril 2023 à 05h17
Commentaires (25)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 26/04/2023 à 06h27
J’ai vu ça hier. C’est pas trop tôt ! On se demande pourquoi ça n’a pas été implémenté avant 🤔
Le 26/04/2023 à 07h17
Je suis passé à Authy à cause de cela, c’est pas dit que je revienne à Google Authenticator pour autant !!!
Le 26/04/2023 à 07h40
La synchro dans le cloud c’est LE truc que je me suis empressé de désactiver dans Authy !
Le 26/04/2023 à 07h37
Parce que c’est complètement stupide? Quel intérêt d’avoir des authentification multifacteur si tout les facteurs sont stocké au même endroit
Le 26/04/2023 à 07h41
Le 26/04/2023 à 07h41
Le 26/04/2023 à 07h56
Pour ceux qui auraient des doutes sur la stupidité de synchroniser ses codes 2FA dans le cloud (et qui comprennent l’anglais) : https://defcon.social/@mysk/110262313275622023
Le 26/04/2023 à 08h53
Ah oui quand même
Bon, je plussoie…
Le 26/04/2023 à 21h03
Flûte, grillé, je voulais mettre ce lien.
Ceci dit, ce n’est pas la synchronisation en elle-même qui pose problème mais le fait qu’elle se fasse en clair, ce qui n’est pas du tout la même chose.
Pour ceux qui utilisent Aegis, il est possible de générer des fichiers de sauvegardes et, surtout, de les chiffrer avec un mot de passe dédié (pas celui qui peut être utilisé pour déverrouiller l’accès à l’application et que l’on n’imagine pas de 30 caractères aléatoires
)
Le 26/04/2023 à 22h41
Sinon, 2 Yubikeys (ou équivalent FIDO2/U2F), une pour utiliser, l’autre au chaud dans le coffre à la maison au cas où on perd la première.
Le 01/05/2023 à 06h57
+1
Le 26/04/2023 à 08h00
Avec Aegis, pas de problème …
Le 26/04/2023 à 09h26
Stocker tous vos secrets OTP en clair sur les serveur de Google, WHAT COULD GO WRONG ?
Je pense que ceux qui se réjouissent de la fonctionnalité ont un peu raté ce qui s’est passé ces 10 dernières années en matière de sécurité informatique. C’est pas comme si Snowden nous avait révélé que les GAFAM collaborent avec le gouvernement amércain en fournissant les données des utilisateurs.
Sinon vous pouvez prendre l’excellent KeepassDX qui fait aussi du TOTP, ou bien le toujours très bon FreeOTP+ (il possède aussi une fonction d’import/export, ce qui vous permet de faire vos sauvegardes).
Le 26/04/2023 à 18h08
perso sur android, je suis passé de FreeOTP+ à AndOTP, et plus récemment à Aegis (tous sont dispo sur fdroid)
Le 26/04/2023 à 10h21
Si je ne me trompe pas, avec authy, c’est une archive chiffré qui est stockée, rien n’est stocké ou transité en clair.
Le 26/04/2023 à 18h17
et c’est la plaquette commerciale qui dit ça ou des expert indépendant ?
Le 26/04/2023 à 11h29
Bitwarden gère l’OTP dans sa version payante. Contrairement à iCloud par exemple, il est possible de ré-exporter ses secrets (pour changer de crèmerie / en avoir plusieurs etc).
Le 26/04/2023 à 11h37
L’export du trousseau iCloud contient les secrets aussi.
J’ai fait un export iCloud import Bitwarden et les codes TOTP ont bien été repris.
Le 27/04/2023 à 11h18
OK my bad alors. Je vais ré-essayer dans ce cas, peut-être est-ce possible uniquement depuis macOS (et pas iOS par exemple) ?
Le 27/04/2023 à 20h41
Exactement, la seule possibilité pour exporter le trousseau est de passer par un Mac.
Le 26/04/2023 à 12h03
Souvent, les services qui proposent du TOTP fournissent aussi des codes de secours (ou « codes de récupération »).
Ça permet de ne pas perdre l’accès à son compte en cas de perte de l’appareil, et c’est une solution plus sécurisée que de stocker les clés dans un cloud.
Le 26/04/2023 à 18h18
On pouvait déjà exporter le secret en local pour sauvegarde et/ou transfert sur un autre appareil.
Le 26/04/2023 à 18h20
En effet via QRCode, c’est comme ça que je faisais pour les sauvegarder au vu des soucis de stabilité que j’ai eu sur mon smartphone. Je les transférais sur l’ancien par ce moyen.
Le 27/04/2023 à 06h45
Mais c’est une option ou c’est imposé ? Il va falloir que je migre d’application dans tous les cas, mais en attendant, je vais simplement ne pas faire cette mise à jour…
Le 27/04/2023 à 16h17
C’est une option, après la MAJ, l’appli propose d’associer son compte Google ou de fonctionner sans compte