Les propriétaires de téléphones portables ou de tablettes avec Android qui utilisent l’application de Facebook sont en grave danger : selon des études, l’application n’envoie ni ne reçoit de données de manière cryptée. Il est donc vulnérable aux attaques des types les plus simples, celles que tout enfant peut commettre.
Le test a été réalisé par le professeur Dan Wallach et ses étudiants de l’université Rice, qui ont utilisé des programmes tels que Wireshark, simple et disponible sous licence libre, pour capturer des paquets provenant d’un réseau auquel l’appareil Android était connecté. Les résultats ont été surprenants : en termes de sécurité, l’application Facebook est aussi peu sûre, voire plus, que Windows 95. Aucun antivirus n’est installé.
En gros, une quantité inquiétante de données voyage sans aucune sécurité ni cryptage, et peut être visualisée facilement à partir d’un programme renifleur comme WireShark ou similaire.
Et cela ne s’arrête pas là. Comme il n’existe pas d’authentification du type OAuth ni même de méthode pour garantir la véracité des informations envoyées à Facebook, un pirate informatique pourrait très bien utiliser certaines des informations capturées et, de là, poster de faux messages sur son compte.
Mais c’est cool que le gâteau ait une petite cerise sur le gâteau : à un moment donné, les étudiants ont découvert une petite commande SQL au milieu des données capturées. Et même s’ils n’ont pas approfondi leurs recherches, ces informations montrent que l’application rend peut-être même une partie de Facebook vulnérable aux attaques de type SQL Injection.
Il est très probable que Facebook lancera bientôt une mise à jour qui résoudra tous ces problèmes, mais d’ici là, veuillez éviter d’accéder à Facebook depuis l’application officielle depuis des réseaux Wifi inconnus ou peu sûrs (cela inclut probablement aussi le réseau de votre travail…), et si possible, d’y accéder depuis le navigateur via l’url https://www.facebook.com cryptée (notez le “s” à la fin de “http :”).
