D'apr?s Gareth Wright, un d?veloppeur britannique, l'application mobile d?di?e ? Facebook contiendrait en clair les donn?es de connexion enregistr?es par l'utilisateur. Celles-ci ne seraient ni correctement chiffr?es, ni correctement isol?es. Pour lui, il serait relativement ais? ? une personne malintentionn?e d'y acc?der. Sur son blog, il explique s'?tre int?ress? au fichier plist (listes de propri?t?) associ? ? l'application Facebook, stock? dans la m?moire de son iPad et tr?s facilement accessible, puisqu'il suffit pour ce faire d'utiliser un outil de type explorateur de fichiers d?di? ? iOS (iExplorer par exemple).
Il indique avoir transf?r? le fichier en question sur un autre appareil et d?couvert alors, non sans stupeur, que son compte Facebook ?tait alors imm?diatement reconnu. L'affaire se r?v?le d'autant plus g?nante que toutes les applications install?es sur la deuxi?me tablette et faisant appel ? l'identification Facebook l'identifient de la m?me fa?on.
Au sein d'iOS, la th?orie veut que les applications soient suffisamment isol?es du syst?me pour que le fichier plist concern? ne puisse ?tre lu par un logiciel malveillant. Un risque de s?curit? notable se poserait toutefois d?s lors qu'un contact physique avec la machine est permis. Gareth Wright dresse ainsi plusieurs sc?narios d'attaque potentiels, mettant par exemple en sc?ne un malware Windows capable d'aller piocher dans les entrailles de l'iPhone reli? en USB ? la machine h?te.
Il estime par ailleurs que la situation serait identique pour l'application Facebook pour Android, tout en pr?cisant n'avoir pas pu le v?rifier directement.
Facebook invoque le jailbreak... ? tort ?
Le r?seau social a rapidement r?agi, expliquant que l'application Facebook est sure d?s lors que l'environnement dans lequel elle s'ex?cute n'a pas ?t? compromis. Selon lui, ces donn?es d'authentification ne sont accessibles que si l'utilisateur a manuellement fait sauter certaines des protections du syst?me (sur iOS, c'est le fameux jailbreak).
Probl?me : Gareth Wright affirme que tel n'est pas le cas, et justifie ses dires par la reproduction de la manoeuvre sur un iPad 3 (ou nouvel iPad), appareil dont les protections restent pour l'instant inviol?es.
D'autres applications concern?es ?
Apr?s lecture du billet de Gareth Wright, l'?quipe du site The Next Web a entrepris de reproduire la manipulation qui consiste ? transf?rer un fichier plist d'un appareil ? un autre, et dit avoir constat? des r?sultats similaires avec l'application d?di?e au service de stockage Dropbox. L? encore, il s'agit d'appareils dont le syst?me n'a pas subi de modifications particuli?res, ce qui tend ? d?monter les all?gations rassurantes de Facebook.
Pour autant, y'a-t-il vraiment lieu de craindre pour ces donn?es ? Pas vraiment, du moins tant qu'on se garde de connecter son smartphone ? un appareil (station d'accueil pouvant avoir ?t? pi?g?e) dont on ne saurait garantir l'int?grit?. Facebook, et par extension les autres ?diteurs d'applications, auront toutefois int?r?t ? ?tudier la fa?on de mieux s?curiser ces informations.
