La dernière mise à jour de Google Authenticator ajoute, tant sur iOS que sur Android, « la possibilité de sauvegarder en toute sécurité vos codes à usage unique (également connus sous le nom de mots de passe à usage unique ou OTP) sur votre compte Google », se félicite son Security Blog.
De nombreux utilisateurs s'étaient en effet plaints du fait qu'en cas de perte ou de vol du terminal, il n'existait aucun moyen de récupérer ses codes de double authentification, au risque d'être bloqué, comme le reconnaît Google :
« Les codes à usage unique d'Authenticator n'étant stockés que sur un seul appareil, la perte de cet appareil signifiait que les utilisateurs perdaient la possibilité de se connecter à tous les services pour lesquels ils avaient configuré 2FA à l'aide d'Authenticator. »
La mise à jour permet désormais de pouvoir y accéder depuis son compte Google, « ce qui améliore à la fois la commodité et la sécurité », explique Christiaan Brand, responsable identité et sécurité de chez Google.
Commentaires (25)
#1
J’ai vu ça hier. C’est pas trop tôt ! On se demande pourquoi ça n’a pas été implémenté avant 🤔
#2
Je suis passé à Authy à cause de cela, c’est pas dit que je revienne à Google Authenticator pour autant !!!
#2.1
La synchro dans le cloud c’est LE truc que je me suis empressé de désactiver dans Authy !
#3
Parce que c’est complètement stupide? Quel intérêt d’avoir des authentification multifacteur si tout les facteurs sont stocké au même endroit
#3.1
#4
#5
Pour ceux qui auraient des doutes sur la stupidité de synchroniser ses codes 2FA dans le cloud (et qui comprennent l’anglais) : https://defcon.social/@mysk/110262313275622023
#5.1
Ah oui quand même
Bon, je plussoie…
#5.2
Flûte, grillé, je voulais mettre ce lien.
Ceci dit, ce n’est pas la synchronisation en elle-même qui pose problème mais le fait qu’elle se fasse en clair, ce qui n’est pas du tout la même chose.
Pour ceux qui utilisent Aegis, il est possible de générer des fichiers de sauvegardes et, surtout, de les chiffrer avec un mot de passe dédié (pas celui qui peut être utilisé pour déverrouiller l’accès à l’application et que l’on n’imagine pas de 30 caractères aléatoires
)
#5.3
Sinon, 2 Yubikeys (ou équivalent FIDO2/U2F), une pour utiliser, l’autre au chaud dans le coffre à la maison au cas où on perd la première.
#5.4
+1
#6
Avec Aegis, pas de problème …
#7
Stocker tous vos secrets OTP en clair sur les serveur de Google, WHAT COULD GO WRONG ?
Je pense que ceux qui se réjouissent de la fonctionnalité ont un peu raté ce qui s’est passé ces 10 dernières années en matière de sécurité informatique. C’est pas comme si Snowden nous avait révélé que les GAFAM collaborent avec le gouvernement amércain en fournissant les données des utilisateurs.
Sinon vous pouvez prendre l’excellent KeepassDX qui fait aussi du TOTP, ou bien le toujours très bon FreeOTP+ (il possède aussi une fonction d’import/export, ce qui vous permet de faire vos sauvegardes).
#7.1
perso sur android, je suis passé de FreeOTP+ à AndOTP, et plus récemment à Aegis (tous sont dispo sur fdroid)
#8
Si je ne me trompe pas, avec authy, c’est une archive chiffré qui est stockée, rien n’est stocké ou transité en clair.
#8.1
et c’est la plaquette commerciale qui dit ça ou des expert indépendant ?
#9
Bitwarden gère l’OTP dans sa version payante. Contrairement à iCloud par exemple, il est possible de ré-exporter ses secrets (pour changer de crèmerie / en avoir plusieurs etc).
#9.1
L’export du trousseau iCloud contient les secrets aussi.
J’ai fait un export iCloud import Bitwarden et les codes TOTP ont bien été repris.
#9.2
OK my bad alors. Je vais ré-essayer dans ce cas, peut-être est-ce possible uniquement depuis macOS (et pas iOS par exemple) ?
#9.3
Exactement, la seule possibilité pour exporter le trousseau est de passer par un Mac.
#10
Souvent, les services qui proposent du TOTP fournissent aussi des codes de secours (ou « codes de récupération »).
Ça permet de ne pas perdre l’accès à son compte en cas de perte de l’appareil, et c’est une solution plus sécurisée que de stocker les clés dans un cloud.
#11
On pouvait déjà exporter le secret en local pour sauvegarde et/ou transfert sur un autre appareil.
#11.1
En effet via QRCode, c’est comme ça que je faisais pour les sauvegarder au vu des soucis de stabilité que j’ai eu sur mon smartphone. Je les transférais sur l’ancien par ce moyen.
#12
Mais c’est une option ou c’est imposé ? Il va falloir que je migre d’application dans tous les cas, mais en attendant, je vais simplement ne pas faire cette mise à jour…
#12.1
C’est une option, après la MAJ, l’appli propose d’associer son compte Google ou de fonctionner sans compte