Mot de passe d'application

https://www.clubic.com/actualite-570024-alerte-piratage-gmail-quand-une-fonction-prevue-par-google-permet-de-court-circuiter-la-double-authentification.html

Le mot de passe spécifique à une application est pensé à l’origine pour connecter de vieux logiciels ou des services tiers à votre compte Google, cette fonction peut aussi servir de passe-partout à ceux qui cherchent à contourner les mesures de sécurité renforcée. C'est un accès secondaire à la messagerie Gmail.

Pour finaliser l’inscription sur la plateforme de discussion, Giles reçoit un fichier PDF contenant des instructions détaillées. Le document ne comporte aucun lien piégé ni pièce malveillante, mais bien la marche à suivre, captures d’écran à l’appui, pour générer un mot de passe spécifique à une application depuis les paramètres de sécurité de son compte Google, censé permettre un accès sécurisé à la plateforme de consultation. Giles suit les instructions à la lettre, génère le code, et le transmet à son interlocutrice… qui vient d’obtenir un accès direct à sa messagerie, sans jamais avoir eu besoin de ses identifiants, ni de son code de double authentification.

Ce que les attaquants ont utilisé ici, c’est une fonctionnalité développée par Google : les App-Specific Passwords (ASP), ou mots de passe d’application.

Pour résumer, les ASP sont une fonction officielle de Gmail, initialement conçue pour permettre à des applications jugées incompatibles avec la double authentification – comme certains anciens clients mail ou agendas connectés – d’accéder à votre compte malgré tout. L’utilisateur génère un code temporaire, réservé à une application précise, qu’il suffit ensuite d’intégrer dans les paramètres du logiciel concerné.

En théorie, ce mot de passe n’est qu’un substitut à usage limité à l’identifiant principal. En pratique, il permet de contourner l’intégralité du système de validation renforcée. Une fois activé, il autorise la connexion à Gmail sans code A2F et offre un accès complet à la messagerie, sans jamais exiger de confirmation supplémentaire, ni générer d’alerte inhabituelle, la manip étant parfaitement conforme au fonctionnement prévu. Et c’est bien là le cœur du problème.

Google est parfaitement au courant des risques induits.

Alors, pourquoi les ASP n’ont-elles toujours pas été éradiquées ?

Officiellement, la réponse est : compatibilité. Certains logiciels anciens, appareils connectés ou services tiers s’appuient encore sur ce type d’accès pour fonctionner correctement.

Google a commencé à faire le ménage. Sur les comptes Workspace, la création de mots de passe applicatifs est désormais désactivée par défaut, et les administrateurs peuvent en interdire totalement l’usage.

Ne jamais communiquer d’identifiants quels qu’ils soient, y compris s’ils vous semblent secondaires, comme les ASP.

Google a rappelé aux personnes les plus exposées – chercheurs, journalistes, militants, personnalités publiques – d’activer son programme de Protection avancée, qui permet de :

• désactiver la création de mots de passe spécifiques à une application,
• imposer l’usage de clés de sécurité physiques ou numériques à chaque connexion,
• bloquer automatiquement les connexions via des applications anciennes ou vulnérables.

Il est également recommandé de contrôler régulièrement :

• les connexions actives sur votre compte Google (Compte Google > Gérer votre compte > Sécurité > Vos appareils et Vos connexions à des applis et services tiers),
• les mots de passe applicatifs générés et de les supprimer s’ils ne sont plus nécessaires (Compte Google > Gérer votre compte > Sécurité > Validation en deux étapes > Mots de passe d’application),
• désactiver l’accès aux applications moins sécurisées, si cette option n’a pas encore été suspendue par Google pour votre compte perso.

Désactiver les Mots de passe d'application.