🔴 Soldes d'été : jusqu'à - 50% sur le high-tech 🔴 Soldes d'été : jusqu'à - 50% sur le high-tech

Après deux ans d'inertie, Google Authenticator reçoit une mise à jour bienvenue

Nathan Le Gohlisse
Spécialiste Hardware
02 juin 2022 à 18h45
22
Google Authenticator © © Google
© Google

Après deux ans sans véritables mises à jour d'envergure, Google Authenticator se dote de nouveautés timides mais intéressantes… tout du moins, sur Android.

Renforcer encore un peu la confidentialité des codes d'accès qu'il contient. C'est l'objectif de Google Authenticator 5.20. La nouvelle version de l'application de double authentification signée Google apporte deux nouveautés : les premières depuis mai 2020 et la dernière mise à jour majeure déployée sur l'appli.

Une mise à jour toujours en cours de déploiement

Google Authenticator 5.20 masque désormais par défaut les codes. Pour les révéler, il suffit de cliquer dessus, puis de cliquer une nouvelle fois dessus pour les masquer de nouveau et éviter ainsi les regards indiscrets. Cette nouvelle version de l'application 2FA de Google permet aussi de transférer automatiquement le code sur le login qui attend d'être rempli. Seule contre-indication : les codes ainsi transférés apparaissent en clair dans le presse-papiers d'Android 13. La confidentialité peut alors en prendre un coup.

En déploiement progressif depuis le 23 mai dernier, d'abord sur Android, Google Authenticator 5.20 arrivera vraisemblablement plus tard sur iOS. D'ailleurs, à ce stade, tous les utilisateurs Android n'ont pas encore été servis.

Source : Android Police

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
22
19
ehquionest
Sinon encore mieux, une app open-source : Aegis…
yam103
ou FreeOTP. L’application masque déjà les codes.
clubic_er
Puisque chacun y va de son alternative je poste aussi Authenticator Pro qui est aussi opensource et dont l’interface est sympa meme<br /> si comme ehquionest j’aime bcp Aegis et c’est mon appli principale<br /> La fonction la plus importante pour moi c’est l’export des codes , google Authenticator n’est/était pas à la hauteur
marc6310
Bon alors puisqu’on en est là Bitwarden gestionnaire de mots de passe open source déjà bien connus permet également la gestion des codes TOTP tout ça au même endroit et synchronisé entre les périphériques.
idhem59
A mon sens ce n’est pas forcément une bonne idée d’utiliser son gestionnaire de mot de passe comme gestionnaire 2FA.<br /> En cas de compromission de ton Bitwarden (peu probable certes, mais le risque zéro n’existe jamais), tu perds ton dernier rempart avec.<br /> C’est bien pratique en effet de mettre tous ces œufs dans le même panier, mais le niveau de sécurité diminue forcément d’un cran.
Black_Lotus_974
C’est la version payante qui prend en charge les codes OTP
marc6310
Il y a un mot de passe maître sur un coffre fort, même si le serveur (qui a extrêmement peu de chance d’être compromis, du moins dans la version cloud après c’est selon votre hosting pour la version self-hosted) ce qui fait que même si le serveur est compromis, impossible de récupérer les infos des coffres avec un mot de passe suffisamment fort. Surtout qu’il existe également le 2FA pour ouvrir le coffre avec un code par sms par exemple, avec tout ça je te souhaite bien du courage et une longue, très longue vie.<br /> Le risque 0 n’existe pas certes mais il faut tout de même y intégrer les chances que cela se produise et la capacité technique à le réaliser ça permet de pas s’inquiéter pour rien.<br /> Après varier les solutions n’est pas mal, je dirais pas le contraire. Mais là puisqu’il est possible de joindre l’utile à l’agréable ça ne vaut pas le coup de s’en priver.
marc6310
Oui c’est la version payante mais bon c’est 0,83$ par mois, c’est presque donné pour les services rendus.
kellog89
Tout a fait d’accord.<br /> Déjà, avoir un gestionnaire de mots de passe online, pratique peut-être mais c’est pas top question sécurité
Darkonyx
J’ai choisi une application 2FA conseiller par un gros site exchange crypto.<br /> Mais je n’ai pas vraiment confiance a ses applications.
djill
C’est une application qui en plus de ton mot de passe te donne un code pour te connecter à un compte (Facebook, Google, etc). Le code change toute les 30 sec et est synchronisé avec le serveur et sert de « double authentification ». Donc si tu perds ton MDP, la personne doit en plus avoir ton telephone pour pouvoir entrer le code et se connecter.
Jissou06
FreeOTP est openSource<br /> Donc code ouvert et audité
MattS32
Passion1:<br /> Je n’ai pas compris, cette appli double authentification sert a quoi<br /> Elle permet de générer un mot de passe à usage unique et éventuellement temporaire, basé sur l’heure et une clé, qui sert d’identification complémentaire (en plus de, par exemple, un identifiant et/ou un mot de passe) pour te connecter à un service. Comme ce mot de passe est à usage unique, ça protège contre les keyloggers ou autres formes de vol de mot de passe.<br /> C’est compatible avec tous les services proposant une authentification HOTP (RFC 4226, pour des mots de passe à usage unique) et TOTP (RFC 6238, pour des mots de passe à usage unique et temporaires). Quand tu actives la double authentification, ces services te communiquent une clé à enregistrer dans l’application (en général sous forme d’un code QR) et qui va servir de base pour ensuite générer les mots de passe uniques.<br /> C’est une alternative aux mots de passe uniques envoyés par SMS ou aux authentification via une application propriétaire ou un dongle physique (genre RSA SecureID), comme le font souvent les banques pour les paiements, ou encore Steam.<br /> Passion1:<br /> pour quel service ?<br /> Quelques services et applications (liste non exhaustive, basée sur ce que j’ai dans mon gestionnaire, en pratique il y en a sans doute des milliers d’autres) permettant une double authentification HOTP ou TOTP :<br /> Amazon,<br /> Bitbucket,<br /> Bitwarden,<br /> Confluence,<br /> Epic Store,<br /> Facebook,<br /> GitHub,<br /> Google,<br /> Humble Store,<br /> Jira,<br /> LastPass,<br /> Microsoft,<br /> PayPal,<br /> Twitter,<br /> le SSO des trois grosses boîtes pour lesquelles j’ai bossé ces deux dernières années.<br />
ffm76600
A quand la possibilité de verrouiller l’app ?
JeXxx
Normalement ton téléphone est verrouillé de base par un mot de passe ou une empreinte.<br /> A moins que tu es des soupçons sur ton entourage
g-m1n1
Perso j’utilises AUTHY, très content.<br /> Surtout qu’on peut synchroniser ses OTP sur différents appareils (smartphone, tablette, etc.)
kgp
Pour authenticator, je trouve dommage que le processus de backup de l’application ne soit pas plus simple.<br /> Je l’utilise pour ~15 services et si je perds les accès je suis un peu dans la merde.
lastik0t
J’utilise pour ma part Standard Notes : outre la sécurisation des notes (bye bye Evernote &amp; co), il inclut la gestion des codes pour le 2FA via ses applications mobiles et desktops.<br /> Un très bon outil qui figure dans les recommandations de privacytools.io par ailleurs (dans la section « Encrypted Digital Notebooks »)
marc6310
Merci pour privacytools.io je ne connaissais pas et il semble y avoir beaucoup de choses intéressantes là dessus <br /> @Admin : Le compteur des liens ne prend pas en compte le middle click pour ouvrir dans un autre onglet, ça s’incrémente pas alors que le click gauche oui, faudrait corriger.
tfpsly
marc6310:<br /> @Admin : Le compteur des liens ne prend pas en compte le middle click pour ouvrir dans un autre onglet, ça s’incrémente pas alors que le click gauche oui, faudrait corriger.<br /> Je doute qu’ils puissent corriger cela : quand tu cliques gauche, tu exécutes un bout de code Javascript sur la page qui incrémente le compteur puis ouvre la nouvelle page. Alors que lors d’un mid-click (ou ctrl+click ou shift+ ou…), c’est ton navigateur qui ouvre directement le lien sans excécuter de code Javascript. Le seul moyen de contourner cela serait d’interdire l’ouverture dans un(e) autre onglet/fenêtre.
MattS32
tfpsly:<br /> quand tu cliques gauche, tu exécutes un bout de code Javascript sur la page qui incrémente le compteur puis ouvre la nouvelle page. Alors que lors d’un mid-click (ou ctrl+click ou shift+ ou…), c’est ton navigateur qui ouvre directement le lien sans excécuter de code Javascript<br /> C’est simplement une question d’événement à intercepter.<br /> Pour intercepter le clic gauche, c’est l’événement click, le clic droit et le clic milieu/molette c’est auxclick : Element: auxclick event - Web APIs | MDN<br /> Et c’est ensuite possible de distinguer quel est le bouton qui a été cliqué en regardant la propriété button de l’événement : 1 pour le click milieu, 2 pour le click droit, 3 pour le click arrière, 4 pour le click avant, etc…<br /> Par contre ils sont pas forcément tous inacceptables, selon la configuration du navigateur et selon la nature de l’élément sur lequel on a cliqué. Par exemple dans Firefox auxclick n’est pas déclenché quand on fait un clic milieu sur autre chose qu’un lien (car Firefox passe alors en mode autoscroll, pour faire scroller la page en fonction des mouvements de la souris, mais c’est désactivable dans about:config).
romain280
Perso je retiendrais que Google Authenticator m’aura fait migré sur Authenticator Pro (ta suggestion), parce que bon celui de Google est bien jusqu’à découvrir chez les autres qu’il lui manque en fait quelques options essentielles bien pratiques.<br /> C’est bien venant de l’une des 5 plus puissantes multi-nationales ça favorise la concurence et les trottoires d’en face <br /> Me manque plus qu’à trouver une belle icône pour l’appli parce que j’ai mon ptit côté chieur
HAL1
J’utilise depuis quelques semaines la version 5.20 de Google Authenticator et le fait que les codes soient désormais masqués par défaut ne me plaît pas du tout. Je travaille exclusivement depuis la maison, et je n’ai aucun besoin que ces codes ne soient pas immédiatement visibles. Il faudrait clairement que Google propose une option pour choisir ce qu’on préfère.
Voir tous les messages sur le forum

Lectures liées

L'application Google Home fait peau neuve sur Android et iOS
Interdiction de l'IVG aux USA : les apps de suivi du cycle menstruel vont-elles devenir des mouchards ?
iOS 16 : Apple Translate prendra en charge ces nouvelles langues
Top 5 des applications Android à installer sur son smartphone ce week-end
Samsung Pay retirée des smartphones non Samsung ?
Top 5 des applications Android à avoir sur son smartphone ce week-end !
Après WhatsApp et Telegram, c'est au tour de Snapchat de proposer une offre premium
TikTok affirme vouloir vous divertir, contrairement à Facebook qui, lui, veut vous connecter
Shazam : vous pouvez enfin consulter votre historique de reconnaissance depuis le centre de contrôle iOS
Vous devriez supprimer d'urgence ces 11 applications si elles sont sur votre smartphone Android
Haut de page