En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies pour vous proposer des services et offres adaptés à vos centres d’intérêts.FERMER  x
Pour en savoir plus et paramétrer les cookies...
En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies pour vous proposer des services et offres adaptés à vos centres d’intérêts.FERMER  x
Pour en savoir plus et paramétrer les cookies...
Actualité informatique
Test comparatif matériel informatique
Jeux vidéo
Astuces informatique
Vidéo
Télécharger
Services en ligne
Forum informatique
01Business
Applis, logiciels
Produits
Télécoms
Sécurité
Culture, médias
Politique, droits
Technos
Buzz, société
Jeux
Science, recherche

Applis Facebook pour iOS et Android : danger de vol d’identité ?

Un développeur anglais a découvert qu'il suffisait de copier-coller un fichier de l'application Facebook pour iOS d'un iPhone à un autre pour gagner l'accès à un compte. Une vulnérabilité sérieuse ?

laisser un avis
L’application Facebook sur iOS et Android est-elle sûre ? Pas tant que ça, à en croire Gareth Wright. Ce développeur britannique a dévoilé il y a quelques jours que le programme pour OS mobiles du célèbre réseau social était la victime d’une vulnérabilité importante. 
agrandir la photo
Il l’a découverte en allant simplement explorer, avec un logiciel gratuit – iExplorer – le dossier de l’application Facebook dans iOS. En regardant le contenu de fichier de configuration (com.facebook.plist) il se rend compte que celui-ci comprend, non crypté, son identifiant et sa clé d’authentification à Facebook, avec une expiration le… 1 janvier 4001 !
Ni une, ni deux, il envoie son fichier .plist à un ami, pour voir s’il est possible de le coller simplement sur un autre appareil sous iOS, puis de se connecter à Facebook avec la session d’un autre. Bingo ! « Après avoir fait un backup de son propre plist et s’être déconnecté de Facebook, il a copié [mon fichier] sur son appareil et lancé l’appli Facebook. Je suis resté bouche bée quand, quelques minutes plus tard, j’ai vu des posts apparaître sur mon mur, des messages privés envoyés, des applications installées… » écrit Gareth Wright.
Il prend alors contact avec Facebook pour évoquer le souci et se voit répondre qu’ils « travaillent pour régler le problème. » Pendant ce temps, Wright imagine comment pourrait être exploitée la faille. Il imagine par exemple une application cachée sur un PC partagé, qui chiperait les fichiers .plist et ainsi l’accès à un compte, ou encore un programme de type iExplorer, recompilé pour copier et envoyer à un pirate les fichiers .plist. Facile. Wright n'a pas pu tester l’opération sur Android, mais s’est vu confirmer que cela fonctionnait aussi. 

Facebook réagit et minimise l’affaire

Dès aujourd'hui, un responsable nous a indiqué que  « Les applications Facebook sur iOS et Android sont uniquement destinées à une utilisation avec la version d’origine des systèmes d'exploitation. Les dispositifs de sécurité ne sont vulnérables que si le système d'exploitation mobile a été modifié ou qu’un accès  à l'appareil physique a été accordé à une personne malveillante. Nous développons et testons notre application sur une version non modifiée des systèmes d'exploitation des téléphones mobiles et seules les protections natives sont utilisées comme bases de développement, de déploiement et de sécurité. Ces protections sont compromises sur un appareil « jailbreaké ». Comme le dit Apple, "toute modification non autorisée de l'iOS pourrait permettre à des pirates de voler des informations personnelles ... ou d'introduire des logiciels malveillants ou des virus". » Ce qui a fait écrire à beaucoup de gens sur la Toile que seuls les iPhone jailbreakés et les Android rootés comportaient un risque.
Malheureusement, c’est faux. Gareth Wright l’a confirmé, en effectuant toutes ces manipulations sur des terminaux Apple non jailbreakés. iExplorer est en effet utilisable sans modifier son iPhone : on peut donc facilement récupérer le .plist et l’utiliser ailleurs.
Facebook en est d’ailleurs conscient puisque son communiqué précise que les terminaux sont vulnérables « si l’accès physique a été autorisé à un utilisateur malveillant. » Le problème, c’est qu’un malware utilisé sur une machine sur laquelle on branche son téléphone pourrait suffire… Inutile de tomber dans la paranoïa cependant : aucun vol d’identité effectué de cette manière n’a heureusement été recensé.
Mieux vaut toutefois rester méfiant, car même si ce souci de sécurité reste théorique, il est tout à fait réalisable et ne concerne pas que Facebook. De nombreux programmes, dont bien des jeux qui utilisent Facebook Connect conservent aussi durant 60 jours un fichier d’authentification que l'on peut recopier… The Next Web a également réussi à se connecter à un compte Dropbox avec un fichier .plist d’un autre iPhone sans difficulté… Et il est probable que bien d’autres applications mobiles aient le même genre de faiblesse. Un nouveau scandale à propos de la protection des données personnelles sur smartphone en perspective ?
envoyer
par mail
imprimer
l'article
@01net sur
à lire aussi
SUR LES MÊMES THÈMES
Les meilleurs smartphones du moment (vidéo du jour)
Prise en main des nouveaux iPad et debrief de la keynote Apple (vidéo du jour)
Applis : les bons plans et promos du jour pour iPhone, iPad et Android
Apple : ventes record de l'iPhone et bénéfice historique
Sécurité de l’information : la dette masquée des entreprises
Restrictions de copies de fichiers d'Android 4.4 : comment les contourner
Comment choisir un ordi ultraportable (vidéo du jour)
Sécurité, quelles tendances pour 2015 (1ère partie)
Facebook aurait généré 78 000 emplois indirects en France en 2014
Quand Mark Zuckerberg imagine les réseaux sociaux dans 10 ans
CES 2015 : une montre GPS pour enfants et un smartphone pour seniors chez Haier (vidéo)
Facebook rachète une startup spécialisée dans la reconnaissance vocale
CES 2015 : Myfox dévoile une nouvelle solution de sécurité innovante made in France (vidéo)
Best Of 2014 : revivez les keynotes Apple et Google (vidéo du jour)
Entre Noël et les soldes, les réseaux des e-commerces risquent de ne pas passer l'hiver
Les meilleures applications gratuites et indispensables pour Android
Best Of 2014 : revivez le Mobile World Congress (vidéo du jour)
2015 : 4 chantiers clés pour la cybersécurité
Top 5 des tablettes grand format en 2014 (vidéo du jour)
Google sort enfin son atelier de création d’applications Android