Sur son blog, il explique s'être intéressé au fichier plist (listes de propriété) associé à l'application Facebook, stocké dans la mémoire de son iPad et très facilement accessible, puisqu'il suffit pour ce faire d'utiliser un outil de type explorateur de fichiers dédié à iOS (iExplorer par exemple).
Il indique avoir transféré le fichier en question sur un autre appareil et découvert alors, non sans stupeur, que son compte Facebook était alors immédiatement reconnu. L'affaire se révèle d'autant plus gênante que toutes les applications installées sur la deuxième tablette et faisant appel à l'identification Facebook l'identifient de la même façon.
Au sein d'iOS, la théorie veut que les applications soient suffisamment isolées du système pour que le fichier plist concerné ne puisse être lu par un logiciel malveillant. Un risque de sécurité notable se poserait toutefois dès lors qu'un contact physique avec la machine est permis. Gareth Wright dresse ainsi plusieurs scénarios d'attaque potentiels, mettant par exemple en scène un malware Windows capable d'aller piocher dans les entrailles de l'iPhone relié en USB à la machine hôte.
Il estime par ailleurs que la situation serait identique pour l'application Facebook pour Android, tout en précisant n'avoir pas pu le vérifier directement.
Facebook invoque le jailbreak... à tort ?
Le réseau social a rapidement réagi, expliquant que l'application Facebook est sure dès lors que l'environnement dans lequel elle s'exécute n'a pas été compromis. Selon lui, ces données d'authentification ne sont accessibles que si l'utilisateur a manuellement fait sauter certaines des protections du système (sur iOS, c'est le fameux jailbreak).
Problème : Gareth Wright affirme que tel n'est pas le cas, et justifie ses dires par la reproduction de la manoeuvre sur un iPad 3 (ou nouvel iPad), appareil dont les protections restent pour l'instant inviolées.
D'autres applications concernées ?
Après lecture du billet de Gareth Wright, l'équipe du site The Next Web a entrepris de reproduire la manipulation qui consiste à transférer un fichier plist d'un appareil à un autre, et dit avoir constaté des résultats similaires avec l'application dédiée au service de stockage Dropbox. Là encore, il s'agit d'appareils dont le système n'a pas subi de modifications particulières, ce qui tend à démonter les allégations rassurantes de Facebook.
Pour autant, y'a-t-il vraiment lieu de craindre pour ces données ? Pas vraiment, du moins tant qu'on se garde de connecter son smartphone à un appareil (station d'accueil pouvant avoir été piégée) dont on ne saurait garantir l'intégrité. Facebook, et par extension les autres éditeurs d'applications, auront toutefois intérêt à étudier la façon de mieux sécuriser ces informations.
