Alors voilà une formidable idée à la con de Google : Copier vos codes TOTP sur les serveurs de Google.
Le TOTP, c'est censé éviter le piratage d'un compte même si on vous pique le mot de passe.
Mais là en stockant tout chez Google, en cas de piratage de compte Google il devient possible de vous piquer vos mots de passe ET vos codes TOTP.
Donc n'utilisez surtout plus Google Authenticator : il y a de fortes chance pour que Google récupère vos codes TOTP !
Prenez plutôt FreeOTP+ : https://f-droid.org/fr/packages/org.liberty.android.freeotpplus/
(Notez que dans FreeOTP+, vous avez aussi la possibilité de sauvegarder (et plus tard restaurer) vos OTP : Menu > Exporter > Exporter le format JSON et gardez bien le fichier en sécurité.)
(Je suis toujours abasourdi de voir des gens qui trouvent ça pratique. C'est comme si votre banque avait une copie des clés de chez vous, de votre voiture, et accès à la totalité des comptes que vous avez sur les différents sites web. IRL, personne ne voudrait donner autant de pouvoir à un tier. Mais chez Google les gens trouvent ça pratique. Allez comprendre.)
EDIT: Cela semble confirmé : Il n'y a pas de chiffrement de bout en bout pour les secrets OTP. Google peut y avoir accès : https://defcon.social/@mysk/110262313275622023
Vous ajoutez à cela PRISM, cela veut dire que le gouvernement américain a accès à vos codes OTP. Pas sûr que ça soit une bonne idée.
EDIT : Complémen : https://nakedsecurity.sophos.com/2023/04/26/google-leaking-2fa-secrets-researchers-advise-against-new-account-sync-feature-for-now/
(Permalink)