La sécurité des mots de passe est compromise pour les utilisateurs Android qui utilisent la fonctionnalité « back up my data ». Dans certains cas, ceux-ci sont stockés en clair sur le Cloud.
« Back up my data » est une fonctionnalité très pratique qui permet de sauvegarder sur les serveurs Google les paramètres de votre dispositif en l’associant à votre compte utilisateur, l’objectif étant de pouvoir facilement récupérer toutes vos informations en cas de dommage, perte ou vol de votre appareil.
Faisant partie intégrante de l’API Android, « back up my data » permet par exemple de sauvegarder des mots de passe Wi-Fi, mais aussi des données comme vos SMS, MMS, les sites de votre barre de favoris navigateurs, votre liste d’appels, etc. Mais voilà, comme par exemple vos mots de passe Wi-Fi, certaines données ne sont pas cryptées, laissant à quiconque l’opportunité d’y accéder.
Google relativise la gravité de la faille en expliquant que les données en transit sont cryptées et que cette fonctionnalité est optionnelle, donc désactivable à tous moments.
Cela n’empêche pas l’Electronic Frontier Foundation (EFF) de comparer cette faille à une grande porte ouverte » pour les investigations d’agences comme la NSA ou le FBI.