En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies afin de réaliser des statistiques d'audiences et vous proposer une navigation optimale, la possibilité de partager des contenus sur des réseaux sociaux ainsi que des services et offres adaptés à vos centres d'intérêts.

FERMER  x Pour en savoir plus et paramétrer les cookies...

En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies afin de réaliser des statistiques d'audiences et vous proposer une navigation optimale, la possibilité de partager des contenus sur des réseaux sociaux ainsi que des services et offres adaptés à vos centres d'intérêts.

FERMER  x Pour en savoir plus et paramétrer les cookies...
Actualité informatique
Test comparatif matériel informatique
Jeux vidéo
Astuces informatique
Vidéo
Télécharger
Services en ligne
Forum informatique
01Business
Applis, logiciels
Produits
Télécoms
Sécurité
Culture, médias
Politique, droits
Technos
Buzz, société
Jeux
Science, recherche

Applis Facebook pour iOS et Android : danger de vol d’identité ?

Un développeur anglais a découvert qu'il suffisait de copier-coller un fichier de l'application Facebook pour iOS d'un iPhone à un autre pour gagner l'accès à un compte. Une vulnérabilité sérieuse ?

laisser un avis
L’application Facebook sur iOS et Android est-elle sûre ? Pas tant que ça, à en croire Gareth Wright. Ce développeur britannique a dévoilé il y a quelques jours que le programme pour OS mobiles du célèbre réseau social était la victime d’une vulnérabilité importante. 
agrandir la photo
Il l’a découverte en allant simplement explorer, avec un logiciel gratuit – iExplorer – le dossier de l’application Facebook dans iOS. En regardant le contenu de fichier de configuration (com.facebook.plist) il se rend compte que celui-ci comprend, non crypté, son identifiant et sa clé d’authentification à Facebook, avec une expiration le… 1 janvier 4001 !
Ni une, ni deux, il envoie son fichier .plist à un ami, pour voir s’il est possible de le coller simplement sur un autre appareil sous iOS, puis de se connecter à Facebook avec la session d’un autre. Bingo ! « Après avoir fait un backup de son propre plist et s’être déconnecté de Facebook, il a copié [mon fichier] sur son appareil et lancé l’appli Facebook. Je suis resté bouche bée quand, quelques minutes plus tard, j’ai vu des posts apparaître sur mon mur, des messages privés envoyés, des applications installées… » écrit Gareth Wright.
Il prend alors contact avec Facebook pour évoquer le souci et se voit répondre qu’ils « travaillent pour régler le problème. » Pendant ce temps, Wright imagine comment pourrait être exploitée la faille. Il imagine par exemple une application cachée sur un PC partagé, qui chiperait les fichiers .plist et ainsi l’accès à un compte, ou encore un programme de type iExplorer, recompilé pour copier et envoyer à un pirate les fichiers .plist. Facile. Wright n'a pas pu tester l’opération sur Android, mais s’est vu confirmer que cela fonctionnait aussi. 

Facebook réagit et minimise l’affaire

Dès aujourd'hui, un responsable nous a indiqué que  « Les applications Facebook sur iOS et Android sont uniquement destinées à une utilisation avec la version d’origine des systèmes d'exploitation. Les dispositifs de sécurité ne sont vulnérables que si le système d'exploitation mobile a été modifié ou qu’un accès  à l'appareil physique a été accordé à une personne malveillante. Nous développons et testons notre application sur une version non modifiée des systèmes d'exploitation des téléphones mobiles et seules les protections natives sont utilisées comme bases de développement, de déploiement et de sécurité. Ces protections sont compromises sur un appareil « jailbreaké ». Comme le dit Apple, "toute modification non autorisée de l'iOS pourrait permettre à des pirates de voler des informations personnelles ... ou d'introduire des logiciels malveillants ou des virus". » Ce qui a fait écrire à beaucoup de gens sur la Toile que seuls les iPhone jailbreakés et les Android rootés comportaient un risque.
Malheureusement, c’est faux. Gareth Wright l’a confirmé, en effectuant toutes ces manipulations sur des terminaux Apple non jailbreakés. iExplorer est en effet utilisable sans modifier son iPhone : on peut donc facilement récupérer le .plist et l’utiliser ailleurs.
Facebook en est d’ailleurs conscient puisque son communiqué précise que les terminaux sont vulnérables « si l’accès physique a été autorisé à un utilisateur malveillant. » Le problème, c’est qu’un malware utilisé sur une machine sur laquelle on branche son téléphone pourrait suffire… Inutile de tomber dans la paranoïa cependant : aucun vol d’identité effectué de cette manière n’a heureusement été recensé.
Mieux vaut toutefois rester méfiant, car même si ce souci de sécurité reste théorique, il est tout à fait réalisable et ne concerne pas que Facebook. De nombreux programmes, dont bien des jeux qui utilisent Facebook Connect conservent aussi durant 60 jours un fichier d’authentification que l'on peut recopier… The Next Web a également réussi à se connecter à un compte Dropbox avec un fichier .plist d’un autre iPhone sans difficulté… Et il est probable que bien d’autres applications mobiles aient le même genre de faiblesse. Un nouveau scandale à propos de la protection des données personnelles sur smartphone en perspective ?
envoyer
par mail
imprimer
l'article


Newsletter 01net. Actus

@01net sur
à lire aussi
SUR LES MÊMES THÈMES
Phone Apps #60 : Facebook dégaine son appli anti-Snapchat (vidéo)
Test Jiayu S3 : un bon smartphone chinois pour 270 euros (vidéo)
De Quoi J'me Mail, le show high-tech hebdo en vidéo !
Phone Apps #88 : les applications mobiles de la semaine (vidéo)
La prise USB C : qu’est-ce que c’est (vidéo) ?
Bain Capital rachète le spécialiste de la sécurité Blue Coat
Prise en main de la nouvelle Freebox mini 4K (vidéo)
Attaques ciblées, apprenez à distinguer leurs 3 finalités pour mieux y répondre
Apple Watch, MacBook : ce qu'il faut retenir des annonces de la Keynote (Vidéo)
Apple Watch : de 399... à plus de 11000 euros !
Apple baisse le prix de son Apple TV
Live Spécial Apple Watch (vidéo live)
Apple Watch : le point sur les rumeurs avant la Keynote d’Apple (vidéo)
Trois technos du monde PC qu'on aimerait voir sur Mac (vidéo)
Streaming musical : Apple dans les starting-blocks pour affronter Spotify (vidéo).
Les jolies courbes du LG G Flex 2 (vidéo du jour)
Apple Watch : le point sur les rumeurs (vidéo du jour)
De Quoi J'me Mail, le show high-tech hebdo en vidéo !
Bbox Miami : Bouygues et Google font "ami ami" (vidéo du jour)
Apple : ventes record de l'iPhone et bénéfice historique