Que doivent faire les équipes informatiques face aux problèmes de sécurité liés à la nouvelle fonctionnalité de synchronisation de Google Authenticator ?

L’information récente concernant des problèmes de sécurité relatifs à une nouvelle fonctionnalité de Google Authenticator peut amener les équipes IT à se demander si elles doivent modifier leur position et leur confiance envers son application pour l’authentification utilisée au sein de leurs réseaux ou par les applications utilisées par leurs organisations.

Lancée en 2010, l’application mobile Google Authenticator offrait une option 2FA plus sûre que les codes à usage unique envoyés par SMS. La sécurité accrue qu’elle propose découle de son mode de fonctionnement : les codes de l’application sont générés sur le téléphone de l’utilisateur et ne transitent jamais par des réseaux non sécurisés.

La nouvelle fonctionnalité permet aux utilisateurs de synchroniser les codes 2FA sur tous les appareils via le cloud, ce que les utilisateurs souhaitaient depuis longtemps. Elle élimine la nécessité de réinitialiser chaque code en cas de perte ou de vol de l’appareil et simplifie l’accès aux codes 2FA avec un nouveau téléphone.

Cependant, les chercheurs de Mysk ont signalé sur Twitter que la synchronisation n’était pas cryptée :

« Nous avons analysé le trafic réseau lorsque l’application synchronise les secrets et il s’avère que le trafic n’est pas chiffré de bout en bout. Pourquoi est-ce une mauvaise chose ? Chaque QR code 2FA contient un secret, ou une graine, qui est utilisé pour générer les codes à usage unique. Si une autre personne connaît le secret, les mêmes codes à usage unique peuvent alors être générés et les protections 2FA contournées. Par conséquent, en cas de violation de données ou si quelqu’un accède à votre compte Google, tous vos secrets 2FA seront compromis. »

Cela semble contraire à la sécurité initiale procurée par l’application lors de son lancement, à savoir une alternative aux codes transitant par des réseaux non sécurisés.

SC Magazine résume les inquiétudes suscitées par cette nouvelle fonction de synchronisation des secrets de Google Authenticator :

« Selon les chercheurs, l’absence de cryptage expose les utilisateurs à des fuites de données ainsi qu’à une éventuelle prise de contrôle de leur compte Google. Une attaque réussie permettrait à un acteur malveillant d’accéder au QR code de l’authentification à deux facteurs utilisé pour générer un code à usage unique, ce qui donnerait à l’acteur malveillant la possibilité de générer le même code à usage unique. »

L’application Google Authenticator est une méthode d’authentification à deux facteurs très populaire avec plus de 100 millions de téléchargements sur Google Play. Toutefois, ce n’est pas la première fois que des problèmes de sécurité sont signalés la concernant.

En 2020, une souche de logiciel malveillant Android a été signalée comme étant capable d’extraire et de voler les codes d’accès à usage unique générés par Google Authenticator.

Google Authenticator a également été épinglé par le passé pour l’absence de code d’accès ou de verrouillage biométrique sur l’application elle-même, ce qui accroît le danger que représente un appareil perdu pour une organisation. Ce danger est bien sûr accru pour les organisations qui utilisent le BYOD, avec lequel les équipes informatiques ne sont pas en mesure d’effacer les appareils des utilisateurs finaux.

Ce que les équipes informatiques concernées peuvent faire à propos de Google Authenticator

Cette nouvelle fonctionnalité de Google Authenticator doit être activée par l’utilisateur final. Le risque immédiat pour une organisation dont les utilisateurs s’authentifieraient à l’aide de l’application est donc faible.

Toutefois, les équipes informatiques concernées peuvent prendre quelques mesures :

• Informez les utilisateurs finaux de cette nouvelle fonctionnalité et recommandez-leur de ne pas l’activer tant que Google n’aura pas proposé un chiffrement de bout en bout.
• Utilisez une plateforme MFA flexible où vous pouvez ajuster le poids de chaque facteur dans le processus d’authentification de l’utilisateur (concernant la plateforme qui alimente Specops uReset pour les réinitialisations de mot de passe Active Directory, les clients peuvent découvrir comment ajuster leurs politiques pour des situations similaires dans ce billet de blog).

Ne négligez pas le mot de passe. Google Authenticator n’arrive bien souvent qu’en deuxième position dans les facteurs de risque. Celui que pose l’application en termes de sécurité n’apparaît que si l’attaquant franchit le premier mur de défense, c’est-à-dire le mot de passe. Lorsqu’il s’agit de protéger les mots de passe AD de votre organisation contre ce risque, faites appel à des solutions comme Specops Password Policy qui améliore la sécurité des mots de passe et protège votre organisation contre l’utilisation de plus de 3 milliards de mots de passe uniques compromis.

L’autre chose à retenir est qu’aucun facteur MFA n’est infaillible. Chacun d’entre eux présente ses propres vulnérabilités et ses propres risques de sécurité potentiels. Une équipe informatique pragmatique le sait et agit en conséquence en faisant des choix qui équilibrent ces risques en fonction des besoins de l’utilisateur final. Le recours à ce type d’approche pour la protection de l’AMF et des mots de passe permet d’atténuer les risques liés à chaque problème.

Vous avez des questions sur les risques liés à l’authentification des utilisateurs? Notre équipe sera ravie de vous aider – contactez-nous.