En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies pour vous proposer des services et offres adaptés à vos centres d’intérêts.FERMER  x
Pour en savoir plus et paramétrer les cookies...
En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies pour vous proposer des services et offres adaptés à vos centres d’intérêts.FERMER  x
Pour en savoir plus et paramétrer les cookies...
Actualité informatique
Test comparatif matériel informatique
Jeux vidéo
Astuces informatique
Vidéo
Télécharger
Services en ligne
Forum informatique
01Business
Applis, logiciels
Produits
Télécoms
Sécurité
Culture, médias
Politique, droits
Technos
Buzz, société
Jeux
Science, recherche

Applis Facebook pour iOS et Android : danger de vol d’identité ?

Un développeur anglais a découvert qu'il suffisait de copier-coller un fichier de l'application Facebook pour iOS d'un iPhone à un autre pour gagner l'accès à un compte. Une vulnérabilité sérieuse ?

laisser un avis
L’application Facebook sur iOS et Android est-elle sûre ? Pas tant que ça, à en croire Gareth Wright. Ce développeur britannique a dévoilé il y a quelques jours que le programme pour OS mobiles du célèbre réseau social était la victime d’une vulnérabilité importante. 
agrandir la photo
Il l’a découverte en allant simplement explorer, avec un logiciel gratuit – iExplorer – le dossier de l’application Facebook dans iOS. En regardant le contenu de fichier de configuration (com.facebook.plist) il se rend compte que celui-ci comprend, non crypté, son identifiant et sa clé d’authentification à Facebook, avec une expiration le… 1 janvier 4001 !
Ni une, ni deux, il envoie son fichier .plist à un ami, pour voir s’il est possible de le coller simplement sur un autre appareil sous iOS, puis de se connecter à Facebook avec la session d’un autre. Bingo ! « Après avoir fait un backup de son propre plist et s’être déconnecté de Facebook, il a copié [mon fichier] sur son appareil et lancé l’appli Facebook. Je suis resté bouche bée quand, quelques minutes plus tard, j’ai vu des posts apparaître sur mon mur, des messages privés envoyés, des applications installées… » écrit Gareth Wright.
Il prend alors contact avec Facebook pour évoquer le souci et se voit répondre qu’ils « travaillent pour régler le problème. » Pendant ce temps, Wright imagine comment pourrait être exploitée la faille. Il imagine par exemple une application cachée sur un PC partagé, qui chiperait les fichiers .plist et ainsi l’accès à un compte, ou encore un programme de type iExplorer, recompilé pour copier et envoyer à un pirate les fichiers .plist. Facile. Wright n'a pas pu tester l’opération sur Android, mais s’est vu confirmer que cela fonctionnait aussi. 

Facebook réagit et minimise l’affaire

Dès aujourd'hui, un responsable nous a indiqué que  « Les applications Facebook sur iOS et Android sont uniquement destinées à une utilisation avec la version d’origine des systèmes d'exploitation. Les dispositifs de sécurité ne sont vulnérables que si le système d'exploitation mobile a été modifié ou qu’un accès  à l'appareil physique a été accordé à une personne malveillante. Nous développons et testons notre application sur une version non modifiée des systèmes d'exploitation des téléphones mobiles et seules les protections natives sont utilisées comme bases de développement, de déploiement et de sécurité. Ces protections sont compromises sur un appareil « jailbreaké ». Comme le dit Apple, "toute modification non autorisée de l'iOS pourrait permettre à des pirates de voler des informations personnelles ... ou d'introduire des logiciels malveillants ou des virus". » Ce qui a fait écrire à beaucoup de gens sur la Toile que seuls les iPhone jailbreakés et les Android rootés comportaient un risque.
Malheureusement, c’est faux. Gareth Wright l’a confirmé, en effectuant toutes ces manipulations sur des terminaux Apple non jailbreakés. iExplorer est en effet utilisable sans modifier son iPhone : on peut donc facilement récupérer le .plist et l’utiliser ailleurs.
Facebook en est d’ailleurs conscient puisque son communiqué précise que les terminaux sont vulnérables « si l’accès physique a été autorisé à un utilisateur malveillant. » Le problème, c’est qu’un malware utilisé sur une machine sur laquelle on branche son téléphone pourrait suffire… Inutile de tomber dans la paranoïa cependant : aucun vol d’identité effectué de cette manière n’a heureusement été recensé.
Mieux vaut toutefois rester méfiant, car même si ce souci de sécurité reste théorique, il est tout à fait réalisable et ne concerne pas que Facebook. De nombreux programmes, dont bien des jeux qui utilisent Facebook Connect conservent aussi durant 60 jours un fichier d’authentification que l'on peut recopier… The Next Web a également réussi à se connecter à un compte Dropbox avec un fichier .plist d’un autre iPhone sans difficulté… Et il est probable que bien d’autres applications mobiles aient le même genre de faiblesse. Un nouveau scandale à propos de la protection des données personnelles sur smartphone en perspective ?
envoyer
par mail
imprimer
l'article
@01net sur
à lire aussi
SUR LES MÊMES THÈMES
iOS perd du terrain sur Android en entreprise
Comparatif : quelle tablette sur quel système pour la rentrée ?
Les meilleures applications de rencontres
Le Top 5 des smartphones haut de gamme (vidéo du jour)
Phone Apps #60 : Facebook dégaine son appli anti-Snapchat (vidéo)
JTech 191 : Google I/O, montre Withings, Samsung Galaxy Tab S et photophones (vidéo)
Fire Phone d'Amazon : le smartphone taillé pour acheter (vidéo du jour)
Phone Apps 56 : le Facebook des animaux arrive enfin (vidéo)
Phone Apps 55 : Ne ratez aucune info de la Coupe du Monde de Football 2014
Rentrée 2014 : les prix des ordis en chute libre (reportage vidéo du jour)
Consolidation dans la sécurité : Morpho rachète Dictao
Test de l'Asus MeMo Pad 8 ME181CX (vidéo)
01netTV raconte... l'iPad (vidéo)
Le big data et la sécurité : plus de données... plus de problèmes
Les drones, le nouveau cauchemar des départements informatiques ?
Test HP SlateBook 14-P000NF : un PC sous Android (vidéo)
Quel est votre vecteur d’attaque préféré : PDF, Word ou ZIP ?
Avant la sortie de l'iPhone 6, l’action d’Apple au plus haut
01netTV raconte... l'iPhone (vidéo)
Test de la Lenovo Tablet Yoga 10 HD+ (vidéo)