Android : la confidentialité de vos mots de passe compromise ?
Une fonctionnalité les envoie sur le Cloud et les rend disponibles en format texte

Le , par Stéphane le calme, Chroniqueur Actualités
Pour ceux d'entre vous qui utilisent la fonctionnalité de sauvegarde sur les serveurs Google « back up my data » sur la plateforme Android, il faut savoir que vos mots de passe Wi-Fi par exemple ne sont pas chiffrés mais bel et bien disponibles au format texte à quiconque peut avoir accès à vos données. La fonctionnalité est activée par défaut sur les Nexus et la plupart des nouveaux appareils fonctionnant sous le système d'exploitation.

L'application Backup Manager sauvegarde les paramètres de votre dispositif sur le Cloud de Google en l'associant à votre compte utilisateur. Faisant partie intégrante de l'API Android, il peut donc être utilisé par d'autres applications Android.


En dehors des mots de passe Wi-Fi, l'application envoie par push des données comme vos SMS, MMS, les sites figurant sur votre barre de favoris navigateur, votre liste d'appels et bien d'autres. L'objectif est de pouvoir récupérer toutes ces informations en cas de dommage, perte ou vol de votre appareil.

Un outil utile donc en définitive mais tout de même une ouverture aux données qui pourrait être comblée par un chiffrement des données comme proposé sur le forum Google. D'ailleurs un rapport de l'EFF (Electronic Frontier Foundation) suggère que c'est une porte d'entrée grande ouverte pour les investigations d'agences comme la NSA ou le FBI.

Toutefois, un porte-parole de Google assure que les données en transit d'un appareil à l'autre sont chiffrées. D'ailleurs, cette fonctionnalité de sauvegarde est optionnelle et par conséquent peut être désactivée à tout moment.

Source : blog Google

Et vous ?

Que pensez-vous de ce service ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de Fritte7 Fritte7
http://www.developpez.com
Invité de passage
le 22/07/2013 12:11
Si je me souviens bien, il y a même des applications qui récupèrent ce fichier : /data/misc/wifi/wpa_supplicant.conf
Qui n'est en fait, que l'endroit où toutes les clés wifi sont stockés... en clair oui.

un simple root et tu accèdes a ce fichier...
Avatar de erwanlb erwanlb
http://www.developpez.com
Inactif
le 22/07/2013 13:08
Citation Envoyé par Stéphane le calme  Voir le message
Android : La confidentialité de vos mots de passe pourrait-elle être compromise ?
Une fonctionnalité les envoie sur le Cloud et les rend disponibles en format texte

Pour ceux d'entre vous qui utilisent la fonctionnalité de sauvegarde sur les serveurs Google « back up my data » sur la plateforme Android, il faut savoir que vos mots de passe Wi-Fi par exemple ne sont pas chiffrés mais bel et bien disponibles au format texte à quiconque peut avoir accès à vos données. La fonctionnalité est activée par défaut sur les Nexus et la plupart des nouveaux appareils fonctionnant sous le système d'exploitation.

L'application Backup Manager sauvegarde les paramètres de votre dispositif sur le Cloud de Google en l'associant à votre compte utilisateur. Faisant partie intégrante de l'API Android, il peut donc être utilisé par d'autres applications Android.


En dehors des mots de passe Wi-Fi, l'application envoie par push des données comme vos SMS, MMS, les sites figurant sur votre barre de favoris navigateur, votre liste d'appels et bien d'autres. L'objectif est de pouvoir récupérer toutes ces informations en cas de dommage, perte ou vol de votre appareil.

Un outil utile donc en définitive mais tout de même une ouverture aux données qui pourrait être comblée par un chiffrement des données comme proposé sur le forum Google. D'ailleurs un rapport de l'EFF (Electronic Frontier Foundation) suggère que c'est une porte d'entrée grande ouverte pour les investigations d'agences comme la NSA ou le FBI.

Toutefois, un porte-parole de Google assure que les données en transit d'un appareil à l'autre sont chiffrées. D'ailleurs, cette fonctionnalité de sauvegarde est optionnelle et par conséquent peut être désactivée à tout moment.

Source : blog Google

Et vous ?

Que pensez-vous de ce service ?

J'en pense que si c'est pas indiqué où est le point d'accès Wifi...ça sert pas à grand chose d'en connaitre le nom et le pass...
Avatar de transgohan transgohan
http://www.developpez.com
Expert Confirmé Sénior
le 22/07/2013 13:17
Citation Envoyé par erwanlb  Voir le message
J'en pense que si c'est pas indiqué où est le point d'accès Wifi...ça sert pas à grand chose d'en connaitre le nom et le pass...

Moi ça me fait pourtant dangereusement pensé à l'affaire des Google Cars qui sniffaient toutes les données wifi à leur portée. Et donc les noms des réseaux associées à la position GPS de la voiture...
Avatar de negstek negstek
http://www.developpez.com
Membre éprouvé
le 22/07/2013 13:52
est-ce que si l'on désactive cette option, cela désactive aussi la synchronisation des contacts?
Avatar de Mr_Exal Mr_Exal
http://www.developpez.com
Expert Confirmé
le 22/07/2013 14:41
Que pensez-vous de ce service ?

Que ça montre à quel point les utilisateurs sont feignants et inconscients sur la sécurité.

Règle numéro 1 : Ne JAMAIS enregistrer ses mots de passe où que ce soit.

Concernant le fait que ça soit stocker en clair ça c'est un peu plus craignos par contre.
Avatar de Loceka Loceka
http://www.developpez.com
Expert Confirmé Sénior
le 22/07/2013 15:40
Citation Envoyé par Zweet  Voir le message
Concernant le fait que ça soit stocker en clair ça c'est un peu plus craignos par contre.

Pour quelle raison ?

Un mot de passe WIFI ne peut avoir qu'une seule utilité : se connecter à un réseau WIFI déterminé par un ID.

Ca ne sert pas, par exemple, à identifier un utilisateur.

Pour pouvoir se connecter au réseau WIFI, il faut être capable de donner le bon mot de passe, donc de pouvoir l'avoir "en clair" d'une façon ou d'une autre, ce qui exclus le hashage de mot de passe. Au mieux il pourrait être chiffré par une clef (symétrique ou non) mais il y'aura donc un moyen de le déchiffrer (et heureusement), donc il est tout à fait possible de l'afficher dans une IHM en clair (même s'il est stocké crypté).

On ne peut faire du hash de mot de passe que quand on a besoin d'identifier quelqu'un, pas quand on doit pouvoir redonner le mot de passe en clair derrière.

Pour moi c'est tout à fait normal de se souvenir du mot de passe des réseaux WIFI. C'est tellement pénible à rentrer dans un téléphone/tablette avec les claviers tactiles étant donné que ce sont souvent des mots de passe longs, mélangeant les minuscules et les majuscules, les chiffres, les lettres et les caractères spéciaux.
Personnellement, j'avais passé environ 5 minutes à juste rentrer le mot de passe d'un Wifi dans une tablette (surtout que le logiciel avait eu l'idée génial de mettre des * pour masquer ce qui était tapé...).
Avatar de Mr_Exal Mr_Exal
http://www.developpez.com
Expert Confirmé
le 23/07/2013 15:12
Pour les mots de passe wifi pas de souci (tant que le point wifi est pas géolocalisé), par contre pour les sms et favoris c'est là ou c'est gênant.

Après il pourrait être utilise de faire une sorte de portefeuille de mots de passe comme sous Linux. Le seul point noir que je vois étant que si le mot de passe n'est pas assez compliqué n'importe qui accède à tous les mots de passe.
Avatar de negstek negstek
http://www.developpez.com
Membre éprouvé
le 23/07/2013 15:59
Citation Envoyé par negstek  Voir le message
est-ce que si l'on désactive cette option, cela désactive aussi la synchronisation des contacts?

personne ne sait?
Avatar de Mr_Exal Mr_Exal
http://www.developpez.com
Expert Confirmé
le 23/07/2013 17:22
Citation Envoyé par negstek  Voir le message
personne ne sait?

La synchronisation des contacts dans Google ? Si oui dans ce cas non la synchronisation n'est pas altérée. Je n'utilise pas le cloud Google et je synchronise quand même mes contacts et mes agendas.
Avatar de negstek negstek
http://www.developpez.com
Membre éprouvé
le 23/07/2013 17:39
Citation Envoyé par Zweet  Voir le message
La synchronisation des contacts dans Google ? Si oui dans ce cas non la synchronisation n'est pas altérée. Je n'utilise pas le cloud Google et je synchronise quand même mes contacts et mes agendas.

Merci, je viens de m'acheter un S4 et j'ai désactivé l'option qui me parait abusive. Je vais donc pouvoir la laisser désactivée sans perdre mes nouveaux contacts
Offres d'emploi IT
Développeur java
CDI
TREPIA - Ile de France - Paris (75000)
Parue le 15/10/2014
Développeur ruby (ror) sénior
CDI
Mobiskill - Ile de France - Paris (75000)
Parue le 10/10/2014

Voir plus d'offres Voir la carte des offres IT
 
 
 
 
Partenaires

PlanetHoster
Ikoula