Mailbox s’est imposé comme l’un des plus beaux buzz de ce début d’année. Il faut dire aussi que les clients de messagerie ne sont pas forcément très nombreux sur l’AppStore, et encore moins avec une interface aussi soignée et agréable à utiliser. C’est un fait, Mailbox est un très bon outil et on comprend ainsi pourquoi Dropbox a signé un gros chèque afin d’acquérir cette solution. Oui mais voilà, si l’on en croit un développeur iOS du nom de Subhransu Behera, tout ne serait pas rose pour autant. Non, parce que l’outil laisserait apparemment en libre accès toutes les données du compte configuré, ce qui inclue bien évidemment les contacts ou les messages, mais également les pièces jointes. Pas terrible, évidemment, et il y a même de quoi avoir quelques sueurs froides.
Pour ceux qui ne connaissent pas bien l’environnement iOS, on peut rappeler que toutes les applications disponibles sur l’AppStore utilisent un dossier spécifique et situé sur nos iDevices pour stocker les fichiers dont elles ont besoin. Mailbox, de son côté, ne déroge évidemment pas à la règle.
Mais voilà, le gros problème avec ce dernier, c’est qu’il ne protège absolument pas les données stockées dans ce répertoire. Pas du tout, même. Ce qui veut aussi dire que toutes les informations du compte configuré par l’utilisateur sont lisibles en clair. Des informations comme les courriers électroniques, les contacts, les pièces jointes et tout ce qui se rapporte à votre Gmail. Là où les choses deviennent encore un peu plus amusantes, c’est quand on sait qu’il existe sur le marché des solutions logicielles permettant d’explorer le contenu d’un iPhone, d’un iPod Touch, d’un iPad Mini ou d’un iPad sans passer par la case “jailbreak”. Des solutions comme le très bon iExplorer.
En utilisant ce dernier, Subhransu est donc parvenu à accéder au dossier utilisé par Mailbox et à mettre la main sur toutes les données qui s’y trouvent. Il a ainsi pu avoir la liste de ses contacts, lire ses mails et même récupérer ses pièces jointes sans aucun souci et sans avoir à bidouiller quoi que ce soit. Qu’est ce que cela veut dire ? Tout simplement que si quelqu’un venait à voler votre précieux, il pourrait en faire tout autant et récupérer ainsi tous les messages que vous avez envoyé à vos amis, à vos collègues, à vos clients, et les réutiliser ensuite comme bon lui semble.
L’ironie de l’histoire, c’est que le SDK de iOS intègre justement des outils permettant de sécuriser ce type de données, des outils qui n’ont visiblement pas utilisés par Mailbox. Notez cependant que toutes ces informations sont évidemment à prendre au conditionnel.