Google Leaking 2FA Secrets - Les chercheurs déconseillent la nouvelle fonctionnalité de "synchronisation de compte" pour l'instant

by Paul Canard

La Authentificateur Google L'application 2FA a récemment fait l'objet de nombreuses actualités sur la cybersécurité, Google ajoutant une fonctionnalité vous permettant de sauvegarder vos données 2FA dans le cloud, puis de les restaurer sur d'autres appareils.

Pour expliquer, un 2FA (authentification à deux facteurs) est l'un de ces programmes que vous exécutez sur votre téléphone portable ou votre tablette pour générer des codes de connexion uniques qui aident à sécuriser vos comptes en ligne avec plus qu'un simple mot de passe.

Le problème avec les mots de passe conventionnels est qu'il existe de nombreuses façons pour les escrocs de les mendier, de les voler ou de les emprunter.

Il ya surf de l'épaule, où un voleur au milieu de vous jette un coup d'œil par-dessus votre épaule pendant que vous le tapez ; il y a conjectures inspirées, où vous avez utilisé une expression qu'un escroc peut prédire en fonction de vos intérêts personnels ; il y a phishing, où vous êtes amené à donner votre mot de passe à un imposteur ; et il y a keylogging, où un logiciel malveillant déjà implanté sur votre ordinateur garde une trace de ce que vous tapez et commence secrètement à enregistrer chaque fois que vous visitez un site Web qui semble intéressant.

Et parce que les mots de passe conventionnels restent généralement les mêmes d'une connexion à l'autre, les escrocs qui trouvent un mot de passe aujourd'hui peuvent souvent simplement l'utiliser encore et encore à leur guise, souvent pendant des semaines, peut-être des mois et parfois même des années.

Ainsi, les applications 2FA, avec leurs codes de connexion à usage unique, augmentent votre mot de passe habituel avec un secret supplémentaire, généralement un numéro à six chiffres, qui change à chaque fois.

.s-bouton+.s-bouton { marge-gauche : .3125rem ; } .s-bouton { transition : tous les 15 s linéaires ; taille de police : .875 rem ; hauteur de ligne : 1.5 ; couleur : #f2f2f2 ; famille de polices : SophosSansMedium, Helvetica Neue, Helvetica, Arial, sans-serif ; poids de la police : 400 ; style de police : normal ; affichage : bloc en ligne ; rembourrage : 3125 rem 1.25 rem ; curseur : pointeur ; aligner le texte : centrer ; décoration de texte : aucune ; bordure : 1px solide #005bc8 ; rayon de bordure : 3 px ; couleur de fond : #005bc8 ; texte-ombre : aucun ; } .s-button:hover { text-decoration: none; couleur : #fff ; couleur de bordure : #002d62 ; couleur de fond : #002d62 ; } .s-bouton–blanc, .s-bouton–blanc:hover { couleur : #005bc8 !important; border-color : #fff ; couleur de fond : #fff ; } .s-ad-sophos-mdr { taille de police : 1rem ; hauteur de ligne : 1.5 ; couleur : #242629 ; famille de polices : SophosSansRegular, Helvetica Neue, Helvetica, Arial, sans-serif ; poids de la police : 400 ; style de police : normal ; position : relative ; largeur maximale : 769px ; marge : 15px automatique ; rembourrage : 30px 30px 25px ; transition: box-shadow .25s cubic-bezier( .645, .045, .355, 1 ); aligner le texte : centrer ; couleur de fond : #0d141d ; répétition d'arrière-plan : pas de répétition ; arrière-plan : 50 % ; taille de fond : couverture ; boîte-ombre : 0 0 0 0 0 transparent ; couleur de fond : #005bc8 ; image d'arrière-plan : aucune ; position d'arrière-plan : 0 0 ; } .s-ad-sophos-mdr__title { font-size: 2rem; hauteur de ligne : 1.125 ; marge inférieure : 4px ; couleur : #fff ; } .s-ad-sophos-mdr__text { font-family: SophosSansLight, Helvetica Neue, Helvetica, Arial, sans-serif; poids de la police : 400 ; style de police : normal ; taille de police : 17 px ; couleur : #fff ; } .s-ad-sophos-mdr__action { margin-top : 15px ; } .s-ad-sophos-mdr__action .s-button { couleur : #fff; } .s-ad-sophos-mdr__link-wrapper { text-decoration: none; } .s-ad-sophos-mdr__link-wrapper:hover .s-ad-sophos-mdr { box-shadow: 0 5px 10px 0 rgba( 0, 0, 0, .15 ); } .s-ad-sophos-mdr__sophos-logo { position : absolue ; haut : 15px ; droite : 15px ; } .s-ad-sophos-mdr__sophos-logo-svg { display: inline-block; largeur : 64 px ; hauteur : 11px ; alignement vertical : haut ; répétition d'arrière-plan : pas de répétition ; taille d'arrière-plan : 64px 11px ; } .s-ad-sophos-mdr__title { font-family: SophosSansSemibold, Helvetica Neue, Helvetica, Arial, sans-serif; poids de la police : 400 ; style de police : normal ; taille de police : 28 px ; poids de la police : 700 ; hauteur de ligne : 1 ; marge inférieure : 10px ; aligner le texte : à gauche ; } .s-ad-sophos-mdr__title svg { max-width: 100%; } .s-ad-sophos-mdr__text { font-size: 16px; hauteur de ligne : 1.25 ; aligner le texte : à gauche ; } .s-ad-sophos-mdr__action { text-align: right; } .s-ad-sophos-mdr .s-button { border-radius: 20px; } @media (min-width:769px) { .s-ad-sophos-mdr__text { margin-right: 140px; } .s-ad-sophos-mdr__action { position : absolue ; droite : 30px ; bas : 30px ; } } @media (max-width : 768px) { .s-ad-sophos-mdr { padding-top : 50px ; } .s-ad-sophos-mdr__title { font-size: 1.625rem; } .s-ad-sophos-mdr__text { font-size: 16px; } .s-ad-sophos-mdr { padding-top : 30px ; } }

Votre téléphone comme deuxième facteur

Les codes à six chiffres généralement générés par les applications 2FA sont calculés directement sur votre téléphone, pas sur votre ordinateur portable ; ils sont basés sur une « graine » ou une « clé de démarrage » qui est stockée sur votre téléphone ; et ils sont protégés par le code de verrouillage de votre téléphone, et non par les mots de passe que vous saisissez régulièrement sur votre ordinateur portable.

De cette façon, les escrocs qui mendient, empruntent ou volent votre mot de passe habituel ne peuvent pas simplement accéder directement à votre compte.

Ces attaquants ont également besoin d'accéder à votre téléphone, et ils doivent pouvoir déverrouiller votre téléphone pour exécuter l'application et obtenir le code à usage unique. (Les codes sont généralement basés sur la date et l'heure à la demi-minute la plus proche, ils changent donc toutes les 30 secondes.)

Mieux encore, les téléphones modernes incluent des puces de stockage sécurisées inviolables (Apple appelle les leurs Enclave sécurisée; Google est connu sous le nom de Titane) qui gardent leurs secrets même si vous parvenez à détacher la puce et essayez d'y extraire des données hors ligne via des sondes électriques miniatures, ou par gravure chimique combinée à la microscopie électronique.

Bien sûr, cette « solution » pose son propre problème, à savoir : comment sauvegarder ces graines 2FA si importantes au cas où vous perdriez votre téléphone, ou en achèteriez un nouveau et voudriez y passer ?

La façon dangereuse de sauvegarder les graines

La plupart des services en ligne vous demandent de configurer une séquence de code 2FA pour un nouveau compte en saisissant une chaîne de données aléatoires de 20 octets, ce qui signifie taper laborieusement 40 caractères hexadécimaux (base 16), un pour chaque demi-octet, ou en saisissant soigneusement 32 caractères en encodage base 32, qui utilise les caractères A à Z et les six chiffres 234567 (zéro et un ne sont pas utilisés car ils ressemblent à O-pour-Oscar et I-pour-Inde).

Sauf que vous avez généralement la possibilité d'éviter les tracas de taper manuellement dans votre secret de départ en scannant un type spécial d'URL via un code QR à la place.

Ces URL 2FA spéciales contiennent le nom du compte et la graine de départ encodée, comme ceci (nous avons limité la graine ici à 10 octets, ou 16 caractères en base 32, pour que l'URL soit courte) :

Vous pouvez probablement deviner où cela se passe.

Lorsque vous allumez l'appareil photo de votre téléphone portable pour numériser des codes 2FA de ce type, il est tentant de prendre d'abord une photo des codes, à utiliser comme sauvegarde…

… mais nous vous conseillons vivement de ne pas le faire, car toute personne qui mettra la main sur ces images plus tard (par exemple depuis votre compte cloud, ou parce que vous l'avez transmise par erreur) connaîtra votre semence secrète, et pourra trivialement générer la bonne séquence de codes à six chiffres.

Comment donc sauvegarder vos données 2FA de manière fiable sans conserver de copies en clair de ces satanés secrets multi-octets ?

Google Authenticator sur le boîtier

Eh bien, Google Authenticator a récemment, bien que tardivement, décidé de commencer à proposer un service de "synchronisation de compte" 2FA afin que vous puissiez sauvegarder vos séquences de code 2FA dans le cloud, puis les restaurer ultérieurement sur un nouvel appareil, par exemple si vous perdez ou remplacez ton téléphone.

Comme un seul média décrit il, "Google Authenticator ajoute une fonctionnalité essentielle tant attendue après 13 ans."

Mais à quel point ce transfert de données de synchronisation de compte est-il sécurisé ?

Vos données de départ secrètes sont-elles chiffrées en transit vers le cloud de Google ?

Comme vous pouvez l'imaginer, la partie de téléchargement dans le cloud du transfert de vos secrets 2FA est en effet cryptée, car Google, comme toutes les entreprises soucieuses de la sécurité, utilise HTTPS et uniquement HTTPS pour tout son trafic Web depuis plusieurs années maintenant. .

Mais vos comptes 2FA peuvent-ils être chiffrés avec une phrase de passe qui vous est propre ? avant même qu'ils ne quittent votre appareil?

De cette façon, ils ne peuvent pas être interceptés (légalement ou non), assignés à comparaître, divulgués ou volés pendant qu'ils sont dans le stockage en nuage.

Après tout, une autre façon de dire "dans le cloud" est simplement "sauvegardé sur l'ordinateur de quelqu'un d'autre".

Devine quoi?

Nos amis codeurs indépendants et spécialistes de la cybersécurité sur @mysk_co, dont nous avons parlé plusieurs fois auparavant sur Naked Security, a décidé de le découvrir.

Quoi ils ont rapporté ne semble pas très encourageant.

Google vient de mettre à jour son application 2FA Authenticator et d'ajouter une fonctionnalité indispensable : la possibilité de synchroniser les secrets entre les appareils.

TL; DR : Ne l'allumez pas.

La nouvelle mise à jour permet aux utilisateurs de se connecter avec leur compte Google et de synchroniser les secrets 2FA sur leurs appareils iOS et Android.… pic.twitter.com/a8hhelupZR

– Mysk 🇨🇦🇩🇪 (@mysk_co) 26 avril 2023

Comme vous pouvez le voir ci-dessus, @mysk_co a revendiqué ce qui suit :

Les détails de votre compte 2FA, y compris les graines, n'étaient pas chiffrés dans leurs paquets réseau HTTPS. En d'autres termes, une fois que le cryptage au niveau du transport est supprimé après l'arrivée du téléchargement, vos graines sont disponibles pour Google, et donc, par implication, pour toute personne disposant d'un mandat de perquisition pour vos données.
Il n'y a pas d'option de phrase de passe pour chiffrer votre téléchargement avant qu'il ne quitte votre appareil. Comme le souligne l'équipe @mysc_co, cette fonctionnalité est disponible lors de la synchronisation des informations de Google Chrome, il semble donc étrange que le processus de synchronisation 2FA n'offre pas une expérience utilisateur similaire.

Voici l'URL concoctée qu'ils ont générée pour configurer un nouveau compte 2FA dans l'application Google Authenticator :

 otpauth://totp/Twitter@Apple?secret=6QYW4P6KWAFGCUWM&issuer=Amazon

Et voici une capture de paquets du trafic réseau que Google Authenticator a synchronisé avec le cloud, avec le cryptage de sécurité au niveau du transport (TLS) supprimé :

Notez que les caractères hexadécimaux en surbrillance correspondent aux 10 octets de données brutes qui correspondent au "secret" en base 32 dans l'URL ci-dessus :

 $ luax Lua 5.4.5 Copyright (C) 1994-2023 Lua.org, PUC-Rio __ ___( o)> <_. ) ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~ Ajout des modules favoris de Duck dans package.preload{} > b32seed = '6QYW4P6KWAFGCUWM' > rawseed = base.unb32(b32seed) > rawseed:len() 10 > base.b16(rawseed) F4316E3FCAB00A6152CC

Que faire?

Nous sommes d'accord avec la suggestion de @mysk_co, qui est, "Nous vous recommandons d'utiliser l'application sans la nouvelle fonctionnalité de synchronisation pour le moment."

Nous sommes à peu près sûrs que Google ajoutera bientôt une fonctionnalité de phrase secrète à la fonctionnalité de synchronisation 2FA, étant donné que cette fonctionnalité existe déjà dans le navigateur Chrome, comme expliqué dans les propres pages d'aide de Chrome :

Gardez vos informations privées

Avec une phrase secrète, vous pouvez utiliser le cloud de Google pour stocker et synchroniser vos données Chrome sans laisser Google les lire. […] Les phrases secrètes sont facultatives. Vos données synchronisées sont toujours protégées par cryptage lorsqu'elles sont en transit.

Si vous avez déjà synchronisé vos graines, ne paniquez pas (ils n'ont pas été partagés avec Google d'une manière qui permet à quiconque de les espionner facilement), mais vous devrez réinitialiser les séquences 2FA pour tous les comptes que vous décidez maintenant que vous auriez probablement dû garder pour vous .

Après tout, vous pouvez avoir configuré 2FA pour des services en ligne tels que des comptes bancaires où les termes et conditions vous obligent à conserver tous les identifiants de connexion pour vous, y compris les mots de passe et les graines, et à ne jamais les partager avec qui que ce soit, pas même avec Google.

Si vous avez l'habitude de prendre des photos des codes QR pour vos graines 2FA de toute façon, sans trop y penser, nous vous recommandons de ne pas le faire.

Comme nous aimons le dire sur Naked Security : En cas de doute / Ne le donnez pas.

Les données que vous gardez pour vous ne peuvent pas être divulguées, volées, assignées à comparaître ou partagées avec des tiers de quelque sorte que ce soit, que ce soit délibérément ou par erreur.

Update. Google a a répondu sur Twitter au rapport de @ mysk_co en admettant qu'il a intentionnellement publié la fonction de synchronisation de compte 2FA sans cryptage dit de bout en bout (E2EE), mais a affirmé que la société avait "prévoit d'offrir E2EE pour Google Authenticator sur toute la ligne." La société a également déclaré que «la possibilité d'utiliser l'application hors ligne restera une alternative pour ceux qui préfèrent gérer eux-mêmes leur stratégie de sauvegarde ». [2023-04-26T18:37Z]

Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
PlatoAiStream. Intelligence des données Web3. Connaissance Amplifiée. Accéder ici.
Frapper l'avenir avec Adryenn Ashley. Accéder ici.
La source: https://nakedsecurity.sophos.com/2023/04/26/google-leaking-2fa-secrets-researchers-advise-against-new-account-sync-feature-for-now/

Intelligence de données générative

Google divulgue des secrets 2FA - les chercheurs déconseillent pour l'instant la nouvelle fonctionnalité de "synchronisation de compte"

Votre téléphone comme deuxième facteur

La façon dangereuse de sauvegarder les graines

Google Authenticator sur le boîtier

Que faire?

Trois clés pour que les Islanders remportent le cinquième match

Les Lakers obtiennent une victoire convoitée contre Denver, désormais menés 3-1 en série

Dernières informations

Les passionnés de Dogecoin et Pepecoin se mobilisent derrière le nouveau jeton d'IA lancé par la plateforme Wahoo Exchange – CryptoInfoNet

Leçons de l’essai FTX : la réglementation des CEX pourrait ne pas suffire à empêcher les mauvais acteurs | Opinion – CryptoInfoNet

L'ingénierie expliquée plonge dans les «engrenages» et autres caractéristiques de performance de l'Ioniq 5 N – CleanTechnica

L'or vient peut-être de signaler la fin du rallye Bitcoin (BTC), selon l'analyste Benjamin Cowen – Voici ce qu'il veut dire – The Daily Hodl

Litecoin en feu : un signal mystérieux indique une explosion de prix de 100 $

Cette semaine sur Crypto Twitter : Bitcoin Runes Mania et plus de drames juridiques Ethereum – Décrypter