En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies pour vous proposer des services et offres adaptés à vos centres d’intérêts.FERMER  x
Pour en savoir plus et paramétrer les cookies...
En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies pour vous proposer des services et offres adaptés à vos centres d’intérêts.FERMER  x
Pour en savoir plus et paramétrer les cookies...
Actualité informatique
Test comparatif matériel informatique
Jeux vidéo
Astuces informatique
Vidéo
Télécharger
Services en ligne
Forum informatique
01Business
Applis, logiciels
Produits
Télécoms
Sécurité
Culture, médias
Politique, droits
Technos
Buzz, société
Jeux
Science, recherche

Applis Facebook pour iOS et Android : danger de vol d’identité ?

Un développeur anglais a découvert qu'il suffisait de copier-coller un fichier de l'application Facebook pour iOS d'un iPhone à un autre pour gagner l'accès à un compte. Une vulnérabilité sérieuse ?

laisser un avis
L’application Facebook sur iOS et Android est-elle sûre ? Pas tant que ça, à en croire Gareth Wright. Ce développeur britannique a dévoilé il y a quelques jours que le programme pour OS mobiles du célèbre réseau social était la victime d’une vulnérabilité importante. 
agrandir la photo
Il l’a découverte en allant simplement explorer, avec un logiciel gratuit – iExplorer – le dossier de l’application Facebook dans iOS. En regardant le contenu de fichier de configuration (com.facebook.plist) il se rend compte que celui-ci comprend, non crypté, son identifiant et sa clé d’authentification à Facebook, avec une expiration le… 1 janvier 4001 !
Ni une, ni deux, il envoie son fichier .plist à un ami, pour voir s’il est possible de le coller simplement sur un autre appareil sous iOS, puis de se connecter à Facebook avec la session d’un autre. Bingo ! « Après avoir fait un backup de son propre plist et s’être déconnecté de Facebook, il a copié [mon fichier] sur son appareil et lancé l’appli Facebook. Je suis resté bouche bée quand, quelques minutes plus tard, j’ai vu des posts apparaître sur mon mur, des messages privés envoyés, des applications installées… » écrit Gareth Wright.
Il prend alors contact avec Facebook pour évoquer le souci et se voit répondre qu’ils « travaillent pour régler le problème. » Pendant ce temps, Wright imagine comment pourrait être exploitée la faille. Il imagine par exemple une application cachée sur un PC partagé, qui chiperait les fichiers .plist et ainsi l’accès à un compte, ou encore un programme de type iExplorer, recompilé pour copier et envoyer à un pirate les fichiers .plist. Facile. Wright n'a pas pu tester l’opération sur Android, mais s’est vu confirmer que cela fonctionnait aussi. 

Facebook réagit et minimise l’affaire

Dès aujourd'hui, un responsable nous a indiqué que  « Les applications Facebook sur iOS et Android sont uniquement destinées à une utilisation avec la version d’origine des systèmes d'exploitation. Les dispositifs de sécurité ne sont vulnérables que si le système d'exploitation mobile a été modifié ou qu’un accès  à l'appareil physique a été accordé à une personne malveillante. Nous développons et testons notre application sur une version non modifiée des systèmes d'exploitation des téléphones mobiles et seules les protections natives sont utilisées comme bases de développement, de déploiement et de sécurité. Ces protections sont compromises sur un appareil « jailbreaké ». Comme le dit Apple, "toute modification non autorisée de l'iOS pourrait permettre à des pirates de voler des informations personnelles ... ou d'introduire des logiciels malveillants ou des virus". » Ce qui a fait écrire à beaucoup de gens sur la Toile que seuls les iPhone jailbreakés et les Android rootés comportaient un risque.
Malheureusement, c’est faux. Gareth Wright l’a confirmé, en effectuant toutes ces manipulations sur des terminaux Apple non jailbreakés. iExplorer est en effet utilisable sans modifier son iPhone : on peut donc facilement récupérer le .plist et l’utiliser ailleurs.
Facebook en est d’ailleurs conscient puisque son communiqué précise que les terminaux sont vulnérables « si l’accès physique a été autorisé à un utilisateur malveillant. » Le problème, c’est qu’un malware utilisé sur une machine sur laquelle on branche son téléphone pourrait suffire… Inutile de tomber dans la paranoïa cependant : aucun vol d’identité effectué de cette manière n’a heureusement été recensé.
Mieux vaut toutefois rester méfiant, car même si ce souci de sécurité reste théorique, il est tout à fait réalisable et ne concerne pas que Facebook. De nombreux programmes, dont bien des jeux qui utilisent Facebook Connect conservent aussi durant 60 jours un fichier d’authentification que l'on peut recopier… The Next Web a également réussi à se connecter à un compte Dropbox avec un fichier .plist d’un autre iPhone sans difficulté… Et il est probable que bien d’autres applications mobiles aient le même genre de faiblesse. Un nouveau scandale à propos de la protection des données personnelles sur smartphone en perspective ?
envoyer
par mail
imprimer
l'article
@01net sur
à lire aussi
SUR LES MÊMES THÈMES
Phone Apps #60 : Facebook dégaine son appli anti-Snapchat (vidéo)
Prise en main des nouveaux iPad et debrief de la keynote Apple (vidéo du jour)
iPhone 6 et 6 Plus : 01netTV vous répond (vidéo du jour)
Comparatif : quelle tablette sur quel système pour la rentrée ?
Les meilleures applications de rencontres
Le Top 5 des smartphones haut de gamme (vidéo du jour)
L'iPhone 6 dope les résultats d'Apple mais les ventes d’iPad déclinent
JTech 202 : nouveaux iPad, Nexus 6 et 9, Samsung Galaxy Alpha, Valéo au mondial de l’auto (vidéo)
Retour sur les annonces Google : Android 5 et les Nexus 6 et 9 (vidéo)
Nouveaux iPad : l’entreprise, la grande oubliée d’Apple
Achèterez-vous les nouveaux iPad ? (vidéo)
La tablette Nexus 9 de Google en images
01LIVE HEBDO #31 : le debrief de l'actu high-tech 18h-18h30 (vidéo replay)
Grand Talk : soirée spéciale Apple (replay)
Nouveaux iPad : dernières rumeurs avant la keynote d’Apple (vidéo du jour)
JTech 201 : Spécial Mondial de l’auto 2014 (vidéo)
Mondial de l’auto : Apple CarPlay contre Android Auto (vidéos)
News Republic : 3 minutes pour découvrir l’essentiel de l’actualité.
Mondial de l'auto : des tableaux de bord personnalisables (vidéo du jour)
Les meilleures applications pour la route