BLOG

21 juillet 2025

Google Authenticator et la fausse sécurité des mots de passe à usage unique

Le lien entre Google Authenticator et les comptes Gmail, qui pourrait mettre des centaines de comptes en danger même avec OTP activé.

Qu'est-ce que Google Authenticator et qu'est-il censé protéger ?

Google Authenticator est une application mobile conçue pour générer des codes de connexion temporaires (OTP – One Time Password) utilisés comme deuxième facteur d'authentification (2FA) dans les systèmes prenant en charge l'authentification à deux facteurs. Son objectif principal est d’ajouter une couche de sécurité supplémentaire à un mot de passe simple, rendant plus difficile l’accès non autorisé à vos comptes.

Concrètement, même si un attaquant parvient à voler ou à deviner le mot de passe de l'utilisateur, il ne pourra pas se connecter sans le code temporaire généré par l'application. Cette approche est devenue une norme de sécurité sur de nombreuses plateformes en ligne, notamment les services financiers, les outils de cloud computing, les fournisseurs de messagerie électronique et les réseaux sociaux.

Comment ça marche, étape par étape

Prenons un exemple concret : imaginons que nous souhaitions nous connecter à notre compte sur un service qui a activé l'authentification par mot de passe à usage unique. Après avoir saisi notre nom d'utilisateur et notre mot de passe, le système nous demandera un second code : il s'agit du mot de passe à usage unique généré par l'application Google Authenticator.

Authentificateur Google

Une fois configurée pour ce compte, l'application génère un code numérique à 30 chiffres toutes les 6 secondes. Ce code est calculé localement sur l'appareil, selon un algorithme TOTP (Time-based One-Time Password) utilisant :

  • une clé secrète partagée avec le serveur de service
  • l'heure actuelle de l'appareil

Étant donné que le serveur de service et l'application utilisent la même clé et la même synchronisation temporelle, ils génèrent simultanément le même code. L'utilisateur le saisit dans le formulaire de connexion et, si le code est valide et temporairement cohérent, l'accès est autorisé.

Tout cela se fait sans connexion internet active, ni de la part de l'application ni du serveur qui l'a générée. C'est précisément cette simplicité et cette indépendance qui ont fait la popularité de Google Authenticator.

Un bref historique de l'application

Google Authenticator a été lancé en 2010 pour répondre au besoin croissant d'un second facteur d'authentification pour les comptes Google. Il a ensuite été mis à disposition de services tiers. Initialement disponible uniquement sur Android, il a ensuite été également disponible sur iOS.

Son fonctionnement repose sur la norme TOTP (Time-based One-Time Password) définie par la RFC 6238 et sur la génération de codes OTP synchronisés avec l'horloge de l'appareil. Ces codes sont régénérés toutes les 30 secondes et ne nécessitent ni connexion internet ni accès au cloud pour fonctionner.

Pendant de nombreuses années, Google Authenticator a été la solution de référence pour l'authentification à deux facteurs. Cependant, il a également été critiqué pour son manque de fonctionnalités de sauvegarde et de synchronisation, une lacune qui n'a été corrigée qu'en 2023 avec l'introduction de la synchronisation cloud, ce qui a soulevé de nouvelles inquiétudes en matière de sécurité.

Support Piattaforme

Google Authenticator est officiellement disponible pour :

  • Android (via Google Play Store)
  • iOS (via l'App Store)

L'application peut être utilisée pour générer des codes OTP pour tout service compatible avec la norme TOTP, notamment :

  • Compte google
  • Compte microsoft
  • Amazon Web Services (AWS)
  • GitHub
  • Dropbox
  • Facebook
  • Twitter (maintenant X)
  • Slack
  • hood.discount
  • Hetzner, OVH, DigitalOcean et d'autres fournisseurs de cloud
  • Services bancaires prenant en charge les OTP externes

De plus, il est également compatible avec tout système personnalisé prenant en charge la génération de codes TOTP via une clé partagée.

Le problème qu'il est censé résoudre : la faiblesse des mots de passe à eux seuls

Les mots de passe seuls ne suffisent plus. Face à la sophistication croissante des attaques de phishing, à la circulation de bases de données de mots de passe volés sur le dark web et à la tendance des utilisateurs à réutiliser les mêmes mots de passe sur plusieurs services, l'authentification à deux facteurs (2FA) est désormais considérée comme une mesure de sécurité minimale.

Google Authenticator a été créé spécifiquement pour réduire le risque que, même en cas de vol d'identifiants, l'accès aux comptes soit empêché sans possession physique du smartphone qui génère l'OTP.

La fonctionnalité de sauvegarde et de synchronisation de Google : une arme à double tranchant

En 2023, Google a lancé une fonctionnalité très médiatisée : la synchronisation automatique des codes OTP avec votre compte Google. Ainsi, si vous perdez ou cassez votre smartphone, il vous suffit de vous connecter à votre compte Google sur un nouvel appareil pour récupérer vos codes enregistrés.

À première vue, cette fonctionnalité simplifie grandement la gestion et la récupération des mots de passe à usage unique. Mais elle introduit également une vulnérabilité dangereuse : Toute la sécurité de l’authentification à deux facteurs est ramenée à un seul élément susceptible d’être compromis : votre compte Gmail.

Si un attaquant parvient à obtenir les informations d'identification du compte Google d'une personne, il peut facilement installer Google Authenticator sur son appareil et synchroniser les OTP, annulant ainsi complètement la protection fournie par 2FA.

Étude de cas concrète : 100 instances cloud Hetzner mises sous tension en quelques minutes

Cet article est né suite à un grave accident survenu à l'un de nos clients.

En quelques minutes, le compte de Hetzner a été activé. plus de 100 instances cloud, avec un coût potentiel de plusieurs milliers d'euros. Nous avons initialement émis l'hypothèse que l'accès se faisait grâce à des identifiants volés et un mot de passe à usage unique (OTP) contourné. Après une analyse approfondie, nous avons découvert que les attaquants avaient réussi à connectez-vous à votre compte Gmail du client.

Activations d'instances Hetzner Cloud

À partir de là, ils ont récupéré l'accès à Hetzner en utilisant la procédure de « récupération de mot de passe » par courrier électronique, puis ont utilisé Google Authenticator synchronisé avec votre compte Google pour obtenir les OTP nécessaires pour contourner la 2FA.

Résumé des instances Hetzner Cloud

Résultat : tout le mécanisme de sécurité s’est effondré, malgré l’adoption de l’authentification à deux facteurs.

Le faux sentiment de sécurité

Cette affaire met en évidence un point clé : De nombreux utilisateurs pensent qu'ils sont en sécurité simplement parce qu'ils utilisent l'OTP, ignorant que, si les codes OTP sont synchronisés et accessibles depuis un service cloud vulnérable (tel que Gmail), l'ensemble du système de sécurité est fragile.

En d’autres termes, si votre courrier électronique est compromis, c’est comme si vous n’aviez pas d’authentification à deux facteurs.

La solution : dissocier Google Authenticator de votre compte Google

Google le permet, même s'il ne le promeut pas activement, désactiver la synchronisation du code OTP sur votre compte Google. Accédez simplement aux paramètres de l'application Google Authenticator et supprimez l'association avec votre compte Google.

De cette façon, les codes OTP restent uniquement localement sur l'appareil e ils ne sont pas synchronisés avec le cloudMême si quelqu'un piratait votre compte Gmail, il n'aurait toujours pas accès à l'application Google Authenticator et à ses codes.

Mais cette solution présente un problème : si vous perdez ou cassez le smartphone sur lequel l'application non synchronisée est installée, Les comptes protégés ne seront plus accessibles, sauf si vous disposez de sauvegardes manuelles ou de codes d'urgence précédemment enregistrés.

Meilleure pratique : clonez votre application sur plusieurs appareils

La meilleure stratégie consiste donc à adopter une approche hybride qui combine la sécurité de la gestion locale avec la redondance sur plusieurs appareils, évitant ainsi la synchronisation dans le cloud.

Importer des comptes 2FA dans Google Authenticator sur un nouvel iPhone

  1. Désactiver la synchronisation cloud Google Authenticator depuis n'importe quel appareil : dans les paramètres de l'application, supprimez l'association avec votre compte Google.
  2. Utilisez la fonction d'exportation intégrée de l'application Google AuthenticatorEn accédant à l'application, appuyez sur l'icône à trois points en haut à droite, puis sélectionnez « Transférer un compte » → « Exporter un compte ». Un QR code contenant tous vos comptes configurés sera généré.
  3. Sur le deuxième appareil, ouvrez Google Authenticator et sélectionnez « Transférer le compte » → « Importer le compte », puis scannez le code QR généré par l'appareil principal. Cela copiera tous les OTP de manière sécurisée sur le nouvel appareil. sans avoir besoin de se connecter à un compte Google.
  4. Veuillez stocker soigneusement le périphérique secondaire ou migrer vers un troisième périphérique pour une redondance accrue.
  5. Vous pouvez également envisager d’utiliser des applications open source comme Aegis Authenticator ou FreeOTP, qui offrent des fonctionnalités avancées telles que des sauvegardes cryptées et des exportations manuelles.

Cette méthode vous permet d'avoir une copie exacte de tous les OTP sur plusieurs appareils, garantissant que si votre téléphone principal est perdu ou cassé, vous pouvez toujours accéder à vos comptes protégés par 2FA. sans exposer vos codes au cloud et sans dépendre de la synchronisation automatique de Google.

Conclusion : Protéger l'OTP signifie protéger l'identité numérique

L'authentification à deux facteurs est une mesure importante, mais elle n'est pas infaillible. Se fier aveuglément à une application OTP synchronisée dans le cloud peut donner un faux sentiment de sécurité et devenir une vulnérabilité.

Le cas de notre client, qui a vu son compte Hetzner piraté et compromis avec des dommages potentiellement très élevés, nous apprend qu'il est essentiel comprendre comment fonctionnent réellement les outils de sécurité que nous utilisons et configurons tout avec soin.

Dans un monde de plus en plus connecté, la protection des identifiants et des OTP signifie protégez votre identité numérique, vos données et souvent votre portefeuille.

Ne laissez pas la commodité du cloud compromettre la sécurité de vos comptes.

Vous avez des doutes ? Vous ne savez pas par où commencer ? Contactez-nous !

Nous avons toutes les réponses à vos questions pour vous aider à faire le bon choix.

Discute avec nous

Discutez directement avec notre support avant-vente.

0256569681

Contactez-nous par téléphone pendant les heures de bureau 9h30 - 19h30

Contactez-nous en ligne

Ouvrez une demande directement dans l'espace contact.

AVIS DE NON-RESPONSABILITÉ, Mentions légales et droits d'auteur. Red Hat, Inc. détient les droits sur Red Hat®, RHEL®, RedHat Linux® et CentOS® ; AlmaLinux™ est une marque commerciale de la AlmaLinux OS Foundation ; Rocky Linux® est une marque déposée de la Rocky Linux Foundation ; SUSE® est une marque déposée de SUSE LLC ; Canonical Ltd. détient les droits sur Ubuntu® ; Software in the Public Interest, Inc. détient les droits sur Debian® ; Linus Torvalds détient les droits sur Linux® ; FreeBSD® est une marque déposée de la Fondation FreeBSD ; NetBSD® est une marque déposée de la Fondation NetBSD ; OpenBSD® est une marque déposée de Theo de Raadt ; Oracle Corporation détient les droits sur Oracle®, MySQL®, MyRocks®, VirtualBox® et ZFS® ; Percona® est une marque déposée de Percona LLC ; MariaDB® est une marque déposée de MariaDB Corporation Ab ; PostgreSQL® est une marque déposée de PostgreSQL Global Development Group ; SQLite® est une marque déposée de Hipp, Wyrick & Company, Inc. ; KeyDB® est une marque déposée d'EQ Alpha Technology Ltd. ; Typesense® est une marque déposée de Typesense Inc. ; REDIS® est une marque déposée de Redis Labs Ltd ; F5 Networks, Inc. détient les droits sur NGINX® et NGINX Plus® ; Varnish® est une marque déposée de Varnish Software AB ; HAProxy® est une marque déposée de HAProxy Technologies LLC ; Traefik® est une marque déposée de Traefik Labs ; Envoy® est une marque déposée de CNCF ; Adobe Inc. détient les droits sur Magento® ; PrestaShop® est une marque déposée de PrestaShop SA ; OpenCart® est une marque déposée d'OpenCart Limited ; Automattic Inc. détient les droits sur WordPress®, WooCommerce® et JetPack® ; Open Source Matters, Inc. détient les droits sur Joomla® ; Dries Buytaert détient les droits sur Drupal® ; Shopify® est une marque déposée de Shopify Inc. ; BigCommerce® est une marque déposée de BigCommerce Pty. Ltd.; TYPO3® est une marque déposée de la TYPO3 Association; Ghost® est une marque déposée de la Ghost Foundation; Amazon Web Services, Inc. détient les droits sur AWS® et Amazon SES® ; Google LLC détient les droits sur Google Cloud™, Chrome™ et Google Kubernetes Engine™ ; Alibaba Cloud® est une marque déposée d'Alibaba Group Holding Limited ; DigitalOcean® est une marque déposée de DigitalOcean, LLC ; Linode® est une marque déposée de Linode, LLC ; Vultr® est une marque déposée de The Constant Company, LLC ; Akamai® est une marque déposée d'Akamai Technologies, Inc. ; Fastly® est une marque déposée de Fastly, Inc. ; Let's Encrypt® est une marque déposée d'Internet Security Research Group ; Microsoft Corporation détient les droits sur Microsoft®, Azure®, Windows®, Office® et Internet Explorer® ; Mozilla Foundation détient les droits sur Firefox® ; Apache® est une marque déposée de The Apache Software Foundation ; Apache Tomcat® est une marque déposée de The Apache Software Foundation ; PHP® est une marque déposée de PHP Group ; Docker® est une marque déposée de Docker, Inc. Kubernetes® est une marque déposée de The Linux Foundation ; OpenShift® est une marque déposée de Red Hat, Inc. ; Podman® est une marque déposée de Red Hat, Inc. ; Proxmox® est une marque déposée de Proxmox Server Solutions GmbH ; VMware® est une marque déposée de Broadcom Inc. ; CloudFlare® est une marque déposée de Cloudflare, Inc. ; NETSCOUT® est une marque déposée de NETSCOUT Systems Inc. ; ElasticSearch®, LogStash® et Kibana® sont des marques déposées d'Elastic NV ; Grafana® est une marque déposée de Grafana Labs ; Prometheus® est une marque déposée de The Linux Foundation ; Zabbix® est une marque déposée de Zabbix LLC ; Datadog® est une marque déposée de Datadog, Inc. ; Ceph® est une marque déposée de Red Hat, Inc. ; MinIO® est une marque déposée de MinIO, Inc. ; Mailgun® est une marque déposée de Mailgun Technologies, Inc. ; SendGrid® est une marque déposée de Twilio Inc. Postmark® est une marque déposée d'ActiveCampaign, LLC ; cPanel®, LLC détient les droits sur cPanel® ; Plesk® est une marque déposée de Plesk International GmbH ; Hetzner® est une marque déposée de Hetzner Online GmbH ; OVHcloud® est une marque déposée d'OVH Groupe SAS ; Terraform® est une marque déposée de HashiCorp, Inc. ; Ansible® est une marque déposée de Red Hat, Inc. ; cURL® est une marque déposée de Daniel Stenberg ; Facebook®, Inc. détient les droits sur Facebook®, Messenger® et Instagram®. Ce site n'est pas affilié, sponsorisé ou autrement associé à l'une des entités mentionnées ci-dessus et ne représente aucune de ces entités de quelque manière que ce soit. Tous les droits sur les marques et noms de produits mentionnés sont la propriété de leurs titulaires respectifs des droits d'auteur. Toutes les autres marques mentionnées sont la propriété de leurs titulaires respectifs. MANAGED SERVER® est une marque déposée européenne de MANAGED SERVER SRL, dont le siège social est situé Via Flavio Gioia, 6, 62012 Civitanova Marche (MC), Italie et le siège opérationnel Via Enzo Ferrari, 9, 62012 Civitanova Marche (MC), Italie.

JUSTE UN MOMENT !

Vous êtes-vous déjà demandé si votre hébergement était nul ?

Découvrez dès maintenant si votre hébergeur vous pénalise avec un site web lent digne des années 1990 ! Résultats immédiats.

Fermer le CTA
Retour en haut de page