Les mots de passe spécifiques aux applications affaiblissent l'authentification à deux facteurs de Google,

Les chercheurs du fournisseur d'authentification à deux facteurs Duo Security ont trouvé une faille dans le système d'authentification de Google qui leur a permis de contourner la vérification de connexion en deux étapes de la société. en abusant des mots de passe uniques utilisés pour connecter des applications individuelles à des comptes Google.

Selon les chercheurs de Duo Security, Google a corrigé la faille le 21 février, mais l'incident souligne le fait que les mots de passe spécifiques à Google ne fournissent pas de contrôle sur les données du compte.

Une fois activé, le système de vérification en deux étapes de Google nécessite la saisie de codes uniques dans additio n au mot de passe habituel du compte pour se connecter. Cette fonction est conçue pour empêcher le piratage de comptes même lorsque le mot de passe est compromis. Les codes uniques peuvent être soit reçus à un numéro de téléphone associé au compte ou peuvent être générés en utilisant une application smartphone.

[Plus d'informations: Comment supprimer les logiciels malveillants de votre PC Windows]

Cependant, vérification en deux étapes seulement fonctionne lors de la connexion via le site de Google. Afin d'accueillir les clients de messagerie, les programmes de discussion, les applications de calendrier, etc., Google a introduit le concept de mots de passe spécifiques à l'application (ASP). Ce sont des mots de passe générés de manière aléatoire qui permettent aux applications d'accéder au compte sans avoir besoin d'un second facteur d'authentification. Les ASP peuvent être révoqués à tout moment sans changer le mot de passe principal du compte.

Le problème est que "les ASP sont - en termes d'application - pas vraiment spécifiques aux applications!" Les chercheurs du Duo Security ont déclaré lundi dans un article de blog. "Si vous créez un ASP à utiliser dans (par exemple) un client de discussion XMPP, ce même ASP peut également être utilisé pour lire votre email sur IMAP, ou récupérer vos événements d'agenda avec CalDAV."

Les chercheurs ont trouvé une faille dans le mécanisme de connexion automatique mis en place dans Chrome dans les dernières versions d'Android qui leur permettait d'utiliser un ASP pour accéder aux paramètres de récupération et de vérification en deux étapes d'un compte Google.

En gros, la faille aurait pu permettre à un attaquant volé un ASP pour un compte Google pour changer le numéro de téléphone mobile et l'adresse e-mail de récupération associée à ce compte ou même désactiver la validation en deux étapes.

"Ne donne rien sauf un nom d'utilisateur, un ASP, et une seule requête à //android.clients.google.com/auth, nous pouvons nous connecter à n'importe quelle propriété Web de Google sans aucune invite de connexion (ou vérification en deux étapes)! " les chercheurs du Duo Security ont dit. "Ce n'est plus le cas dès le 21 février, lorsque les ingénieurs de Google ont poussé un correctif pour combler cette lacune."

En plus de résoudre le problème, Google a également modifié le message affiché après avoir généré un mot de passe spécifique à l'application. pour avertir les utilisateurs que "ce mot de passe vous donne un accès complet à votre compte Google."

"Nous pensons que c'est un trou important dans un système d'authentification forte si un utilisateur a encore un mot de passe suffisant pour contrôle de son compte », ont déclaré les chercheurs du Duo Security. "Cependant, nous sommes toujours convaincus que, même avant de déployer leur solution, la vérification en deux étapes de Google était sans équivoque meilleure que de ne pas le faire."

Cela dit, les chercheurs aimeraient que Google mette en place un mécanisme

Google n'a pas immédiatement répondu à une demande de commentaire à propos de cette faille ou des plans possibles pour implémenter un contrôle plus granulaire pour les mots de passe spécifiques à l'application à l'avenir