Microsoft a enfin résolu un défaut de conception dans son application Authenticator, qui bloquait l'accès de certains utilisateurs à leurs comptes. Malgré les plaintes de certains utilisateurs vieilles de 8 ans, le correctif n'a été appliqué qu'entre le 10 et le 11 septembre derniers.
Faites-vous partie des utilisateurs de Microsoft Authenticator qui, pendant près de 10 ans, se sont retrouvés bloqués hors de leurs comptes en ligne à cause d'une faille de sécurité dans l'application ? Si oui, eh bien, votre cauchemar est sur le point de prendre fin.
Le géant de Redmond vient enfin de corriger ce problème. Si certains adeptes de la double authentification sur mobile n'ont pas attendu tout ce temps et se sont tournés vers des alternatives, comme Google Authenticator ou Duo Mobile, d'autres auront rongé leur frein pendant 8 longues années. Et ils ont bien fait. La patience paye.
Un défaut de conception enfin corrigé
L'application, censée renforcer la sécurité des comptes en ligne, souffrait d'un défaut de conception majeur. Elle ne prenait pas en compte suffisamment de champs lors de l'ajout de nouveaux comptes avec des codes QR. Certains utilisateurs se retrouvaient donc tout bonnement exclus de leurs comptes, l'application écrasant un autre compte portant le même nom d'utilisateur.
Le correctif, inclus dans la version 6.8.15 pour iOS et 6.2409.6094 pour Android, permet désormais de mieux distinguer les comptes tiers. Microsoft a finalement mis en place un système qui invite les utilisateurs à renommer les nouveaux comptes en cas de conflit potentiel.
Mieux vaut tard que jamais pour cette correction qui, bien que tardive, est un pas dans la bonne direction. Elle aligne enfin Microsoft Authenticator sur les standards de l'industrie. Microsoft rattrape son retard, mais une question reste : pourquoi avoir conçu l'application de cette manière au départ ? Pour l'heure, on l'ignore.
8 ans de silence : la lenteur de Microsoft pointée du doigt
La correction de ce défaut de conception est une bonne nouvelle, certes. Mais que penser de la lenteur de réaction de Microsoft face aux alertes de sécurité ? 8 ans. C'est le temps qu'il aura fallu à l'entreprise pour prendre au sérieux les plaintes des utilisateurs et des experts en sécurité.
Cette inertie tend un tantinet les victimes de ce bogue et de la lenteur de la réaction. Brett Randall, consultant en sécurité australien, a vu ses publications sur le sujet cumuler plus de 100 000 vues sur LinkedIn. C'est dire si le problème en a concerné et frustré plus d'un. « Il a été bien plus difficile que nécessaire d'obtenir une reconnaissance de l'existence du problème », souligne-t-il.
Et d'ailleurs, pourquoi un tel délai ? Comme Microsoft semble faire le mort sur les raisons de cette longue attente, ce silence ne fait qu'alimenter les doutes quant à la confiance et la prise en compte des attentes ou problèmes de la communauté.
Certains, comme Will Townsend, analyste chez Moor Insights & Strategy, avancent des hypothèses. La popularité croissante des codes QR pour l'authentification multifacteur aurait pu pousser Microsoft à agir. « L'initiative Secure Future de l'entreprise, encore relativement récente, a peut-être joué un rôle essentiel pour convaincre l'équipe de développement de produits de s'attaquer au problème », ajoute-t-il.
Toujours est-il qu'une communication transparente et une action rapide dans un domaine aussi sensible que l'authentification en ligne seraient bienvenues du côté de la firme de Redmond. En attendant, même avec 8 ans de retard, la vigilance des utilisateurs et la pression de la communauté ne peuvent que tirer les entreprises vers le haut. À bon entendeur (chez Microsoft).
- Vérification en deux étapes pour une sécurité accrue.
- Authentification sans mot de passe pour une connexion facile.
- Compatible avec plusieurs services en ligne pour une utilisation pratique.
Source : CSO
