Google Authenticator : méfiez-vous des back-ups dans le cloud

[Becassine]

Bien sûr, vous avez mis en place un système de double authentification (2FA) pour vos mails etc ... Google authenticator n'est pas le seul outil à votre disposition.

Or si vous faites un backup dans le cloud, ça peut représenter une faille de sécurité. A l'instar de Metamask utilisé avec un iphone et dont le backup était également sauvegardé automatiquement dans le cloud, à moins de décocher la sauvegarde automatique. (à lire ici : https://cryptoast.fr/apres-hack-metamask-deconseille-utilisateurs-apple-sauvegarde-icloud/ ou encore ici https://community.metamask.io/t/ios-users-please-read-this-info-about-icloud-backups/19074)

Cette fois une mise à jour de Google Authenticator pourrait représenter également une faille, à lire ici : https://cryptoactu.com/authenticator-utilisateurs-vulnerables-piratages/

Parfois, certaines idées ou améliorations censées simplifier les choses se résument à ajouter des failles là où il n’y en avait pas auparavant. Et c’est de toute évidence la cas suite à la dernière mise à jour effectuée par Google sur son outil Authenticator. Car une nouvelle fonctionnalité à première vue attrayante permet de « sauvegarder en toute sécurité vos codes à usage unique (également appelés mots de passe à usage unique ou OTP) sur votre compte Google. »

Le problème ? Tout cela sera également stocké sur le Cloud afin de permettre aux utilisateurs ayant perdu leurs téléphones de récupérer ces codes ou de synchroniser un nouveau support. Mais, comme l’explique les spécialistes en cyber-sécurité de la société Mysk, « ne l’installez pas. » Car « en cas de violation de données ou si quelqu’un accède à votre compte Google, tous vos codes 2FA seraient compromis. »

[paid2]

Merci pour ces post Becassine, c'est intéressant de savoir que ça existe. J'ignorais que Google proposait une telle chose, je trouve ça contradictoire et stupide.

Il faut vraiment ne pas comprendre l'intérêt du 2FA par Authenticator pour accepter de stocker ses clés dans un cloud, surtout si celui-ci est aussi peu safe qu'un simple compte Google.

J'utilise pas les produits Google pour mes clés 2FA, des fois FreeOTP et pour les sites plus importants, j'utilise une Yubikey.

Je recommande vivement à tout le monde de ne pas utiliser un seul outil de génération de one-time codes, tout comme de ne pas utiliser une seule et même adresse email..
La diversification c'est important quand il s'agit de sécurité.

[Becassine]

Je me permets de rappeler que j'ai écrit un petite note sur la sécurité informatique ici : https://bitcointalk.org/index.php?topic=2384771.0 que j'essaie d'améliorer au fil du temps, et comme ce n'est pas mon métier j'oublie sans doute certaines choses.

Asche avait également expliqué comme fonctionne la clé Titan ici : https://bitcointalk.org/index.php?topic=5174312.0

Il est notable que certaines personnes, débutantes ou non, ne semblent pas avoir compris que les bitcoins ne sont pas stockées sur une ledger (ou autre HD wallet), mais que ce sont les clés privées qui sont sécurisées : on peut donc lire ici et là des gens qui pensent que leur HD wallet a été piraté, alors qu'en fait leurs clés ont été mal sécurisées (sauvegardées dans le cloud par exemple).

[Danydee]

C'est pas la seule contrainte opposée par Google.. par exemple sur Chrome, la sule option de sauvegarde/exportation des signets, mots de passe enregistrés etc. se fait à travers cloud/compte google!

[paid2]

C'est pas la seule contrainte opposée par Google.. par exemple sur Chrome, la sule option de sauvegarde/exportation des signets, mots de passe enregistrés etc. se fait à travers cloud/compte google!

Ah bon ? Sur mobile uniquement j'imagine ?

[Danydee]

C'est pas la seule contrainte opposée par Google.. par exemple sur Chrome, la sule option de sauvegarde/exportation des signets, mots de passe enregistrés etc. se fait à travers cloud/compte google!

Ah bon ? Sur mobile uniquement j'imagine ?

À ce que j'ai constaté du moins ..