Une faille dans l’App Facebook pour IOS
Gareth Wright, un développeur et chercheur anglais en sécurité, vient de découvrir une faille à Facebook.
La méfiance reste de mise car Gareth Wright confirme la faille et dément Facebook.
C’est en utilisant l’explorateur de fichiers gratuit iExplorer, que Gareth Wright s’est rendu compte que le fichier de configuration Facebook (com.facebook.plist) n’était pas crypté. En plus de contenir son identifiant et sa clé d’authentification, la session n’expirera qu’au premier janvier 4001 ! Sans hésiter, le chercheur en sécurité a fait des vérifications auprès de son meilleur ami. « Après avoir sauvegardé son propre plist et s’être déconnecté de Facebook, il a copié mon fichier sur son appareil et lancé l’appli Facebook. Je suis resté bouche bée quand j’ai vu des posts apparaître sur mon mur, des messages privés envoyés, des mentions «j’aime» et des applications installées…», a affirmé Gareth Wright. Le développeur a par la suite contacté Facebook qui a affirmé chercher actuellement une solution.
Facebook rassure…
Du côté de Facebook, on indique que les applications Facebook pour IOS et Android sont exclusivement destinées à une utilisation sur des systèmes originaux (non modifiés). Les dispositifs de sécurité ne seront attaquables que si le système d’exploitation a été modifié ou qu’une personne malveillante a accédé à l’appareil. Aussi, Facebook précise que les tests de sécurité dans leur firme, sont exécutés sur des terminaux avec des systèmes non jailbreakés. Mais la méfiance reste de mise car Gareth Wright confirme la faille et dément Facebook. Selon lui, le fichier .plist reste toujours explorable avec iExplorer même sur un appareil à pomme avec un IOS original. Une aubaine pour les détracteurs, et bonjour les dégâts !
