Après une attente de 13 ans, Google Authenticator a ajouté une fonctionnalité de synchronisation de compte 2FA qui permet à ses utilisateurs de sauvegarder leurs séquences de code 2FA dans le cloud, après quoi ils peuvent les restaurer dans un nouvel appareil.

Bien que le processus par lequel un utilisateur télécharge son secrets 2FA est crypté, chercheurs chez Naked Security by Sophos et les développeurs iOS de Mysk ont ​​​​indiqué que les détails 2FA d'un utilisateur étaient "non chiffrés dans les paquets réseau HTTPS de Google". De plus, il n'y a aucune option dans laquelle un utilisateur peut crypter son téléchargement à l'aide d'une phrase de passe avant qu'il ne quitte son appareil.

Ceci est préoccupant en raison du fait qu'une fois le cryptage pour le transport des données supprimé après l'arrivée du téléchargement, les données sont disponibles pour Google et pratiquement toute autre personne à la recherche de ces informations, y compris toute personne disposant d'un mandat de perquisition.

Bien qu'il soit possible que Google résolve ce problème de sécurité à l'avenir, les chercheurs de Mysk "recommandent d'utiliser l'application sans la nouvelle fonctionnalité de synchronisation pour le moment".

«Bien que la synchronisation des secrets 2FA entre les appareils soit pratique, cela se fait au détriment de votre vie privée. Heureusement, Google Authenticator offre toujours la possibilité d'utiliser l'application sans se connecter ni synchroniser les secrets », a déclaré Des chercheurs de Mysk dans un tweet.