Espace membre :
flechePublicité

Facebook sur smartphone : la sécurité du compte en question

Partager cette actu
L'application Facebook proposée sur environnement iOS conserverait en clair les données de connexion de l'utilisateur, ouvrant la voie au vol de ces dernières, selon Gareth Wright, l'auteur de la découverte.

Icône de l'application Facebook pour iPhone
D'après Gareth Wright, un développeur britannique, l'application mobile dédiée à Facebook contiendrait en clair les données de connexion enregistrées par l'utilisateur. Celles-ci ne seraient ni correctement chiffrées, ni correctement isolées. Pour lui, il serait relativement aisé à une personne malintentionnée d'y accéder.

Sur son blog, il explique s'être intéressé au fichier plist (listes de propriété) associé à l'application Facebook, stocké dans la mémoire de son iPad et très facilement accessible, puisqu'il suffit pour ce faire d'utiliser un outil de type explorateur de fichiers dédié à iOS (iExplorer par exemple).

Il indique avoir transféré le fichier en question sur un autre appareil et découvert alors, non sans stupeur, que son compte Facebook était alors immédiatement reconnu. L'affaire se révèle d'autant plus gênante que toutes les applications installées sur la deuxième tablette et faisant appel à l'identification Facebook l'identifient de la même façon.

Au sein d'iOS, la théorie veut que les applications soient suffisamment isolées du système pour que le fichier plist concerné ne puisse être lu par un logiciel malveillant. Un risque de sécurité notable se poserait toutefois dès lors qu'un contact physique avec la machine est permis. Gareth Wright dresse ainsi plusieurs scénarios d'attaque potentiels, mettant par exemple en scène un malware Windows capable d'aller piocher dans les entrailles de l'iPhone relié en USB à la machine hôte.

Il estime par ailleurs que la situation serait identique pour l'application Facebook pour Android, tout en précisant n'avoir pas pu le vérifier directement.

Facebook invoque le jailbreak... à tort ?

Le réseau social a rapidement réagi, expliquant que l'application Facebook est sure dès lors que l'environnement dans lequel elle s'exécute n'a pas été compromis. Selon lui, ces données d'authentification ne sont accessibles que si l'utilisateur a manuellement fait sauter certaines des protections du système (sur iOS, c'est le fameux jailbreak).

Problème : Gareth Wright affirme que tel n'est pas le cas, et justifie ses dires par la reproduction de la manoeuvre sur un iPad 3 (ou nouvel iPad), appareil dont les protections restent pour l'instant inviolées.

D'autres applications concernées ?

Après lecture du billet de Gareth Wright, l'équipe du site The Next Web a entrepris de reproduire la manipulation qui consiste à transférer un fichier plist d'un appareil à un autre, et dit avoir constaté des résultats similaires avec l'application dédiée au service de stockage Dropbox. Là encore, il s'agit d'appareils dont le système n'a pas subi de modifications particulières, ce qui tend à démonter les allégations rassurantes de Facebook.

Pour autant, y'a-t-il vraiment lieu de craindre pour ces données ? Pas vraiment, du moins tant qu'on se garde de connecter son smartphone à un appareil (station d'accueil pouvant avoir été piégée) dont on ne saurait garantir l'intégrité. Facebook, et par extension les autres éditeurs d'applications, auront toutefois intérêt à étudier la façon de mieux sécuriser ces informations.

Vous aimerez aussi

Envoyer par mail Envoyer par mail
Chargement des commentaires...
( les afficher maintenant )

flechePublicité

Les bons plans !

Partenaire Clubic.com

Les offres d'emploi

Top logiciels

Google Earth
Google Earth : Guide mondial basé sur des vues 3D satellite de la Terre !
Virtual Earth 3D
Le concurrent de Google Earth par Microsoft
TerraExplorer
Application de cartographie 3D utilisée notamment par le Geoportail
CBGEO
Situer tous les pays du monde sur une carte
Atlas Hist'OOo & Gé'OOo
Atlas utilisable dans OpenOffice.org
Google Maps Image Downloader
Télécharger des images de Google Maps

Partenaire Clubic.com

flechePublicité

BE GEEK ! Avec Clubic Logo

flechePublicité