Applis Facebook pour iOS et Android : danger de vol d’identité ?

Il l’a découverte en allant simplement explorer, avec un logiciel gratuit – iExplorer – le dossier de l’application Facebook dans iOS. En regardant le contenu de fichier de configuration (com.facebook.plist) il se rend compte que celui-ci comprend, non crypté, son identifiant et sa clé d’authentification à Facebook, avec une expiration le… 1 janvier 4001 !

Ni une, ni deux, il envoie son fichier .plist à un ami, pour voir s’il est possible de le coller simplement sur un autre appareil sous iOS, puis de se connecter à Facebook avec la session d’un autre. Bingo ! « Après avoir fait un backup de son propre plist et s’être déconnecté de Facebook, il a copié [mon fichier] sur son appareil et lancé l’appli Facebook. Je suis resté bouche bée quand, quelques minutes plus tard, j’ai vu des posts apparaître sur mon mur, des messages privés envoyés, des applications installées… » écrit Gareth Wright.

Il prend alors contact avec Facebook pour évoquer le souci et se voit répondre qu’ils « travaillent pour régler le problème. » Pendant ce temps, Wright imagine comment pourrait être exploitée la faille. Il imagine par exemple une application cachée sur un PC partagé, qui chiperait les fichiers .plist et ainsi l’accès à un compte, ou encore un programme de type iExplorer, recompilé pour copier et envoyer à un pirate les fichiers .plist. Facile. Wright n'a pas pu tester l’opération sur Android, mais s’est vu confirmer que cela fonctionnait aussi. 

Dès aujourd'hui, un responsable nous a indiqué que  « Les applications Facebook sur iOS et Android sont uniquement destinées à une utilisation avec la version d’origine des systèmes d'exploitation. Les dispositifs de sécurité ne sont vulnérables que si le système d'exploitation mobile a été modifié ou qu’un accès  à l'appareil physique a été accordé à une personne malveillante. Nous développons et testons notre application sur une version non modifiée des systèmes d'exploitation des téléphones mobiles et seules les protections natives sont utilisées comme bases de développement, de déploiement et de sécurité. Ces protections sont compromises sur un appareil « jailbreaké ». Comme le dit Apple, "toute modification non autorisée de l'iOS pourrait permettre à des pirates de voler des informations personnelles ... ou d'introduire des logiciels malveillants ou des virus". » Ce qui a fait écrire à beaucoup de gens sur la Toile que seuls les iPhone jailbreakés et les Android rootés comportaient un risque.

Malheureusement, c’est faux. Gareth Wright l’a confirmé, en effectuant toutes ces manipulations sur des terminaux Apple non jailbreakés. iExplorer est en effet utilisable sans modifier son iPhone : on peut donc facilement récupérer le .plist et l’utiliser ailleurs.

Facebook en est d’ailleurs conscient puisque son communiqué précise que les terminaux sont vulnérables « si l’accès physique a été autorisé à un utilisateur malveillant. » Le problème, c’est qu’un malware utilisé sur une machine sur laquelle on branche son téléphone pourrait suffire… Inutile de tomber dans la paranoïa cependant : aucun vol d’identité effectué de cette manière n’a heureusement été recensé.

Mieux vaut toutefois rester méfiant, car même si ce souci de sécurité reste théorique, il est tout à fait réalisable et ne concerne pas que Facebook. De nombreux programmes, dont bien des jeux qui utilisent Facebook Connect conservent aussi durant 60 jours un fichier d’authentification que l'on peut recopier… The Next Web a également réussi à se connecter à un compte Dropbox avec un fichier .plist d’un autre iPhone sans difficulté… Et il est probable que bien d’autres applications mobiles aient le même genre de faiblesse. Un nouveau scandale à propos de la protection des données personnelles sur smartphone en perspective ?