Il semble que la faille SMS qui habite l’iPhone soit commune à bien des téléphones mobiles.
Telle est la vision d’Apple, qui n’a pas tardé à réagir aux avertissements qu’avait émis en ce sens le développeur français Pod2g.
Impliqué sur la scène du jailbreak, le hacker a récemment révélé au grand jour cette vulnérabilité par laquelle un tiers malveillant peut se faire passer pour une personne ou un organisme de confiance.
L’artifice tient à une modification dans l’User Data Header (UDH), ce conteneur d’en-tête qui regroupe notamment des informations d’identification des correspondants.
Il s’agit pour l’assaillant d’orchestrer l’affichage, en regard d’un texto entrant, d’un numéro autre que celui du terminal émetteur. Si la victime potentielle répond, son message sortant est adressé au numéro d’origine et non à celui faussement spécifié dans le champ expéditeur.
Naît une confiance illusoire par laquelle l’utilisateur est plus susceptible de s’exécuter sans arrière-pensée, communiquant à son insu des données parfois hautement confidentielles.
Pod2g a déterminé que dans l’état actuel, aucune version d’iOS ne permet d’afficher les deux numéros en question lorsqu’ils sont différenciés. Une porte grande ouverte aux escroqueries.
En outre, l’intéressé, qui estimait que le subterfuge englobait nombre de téléphones portables, voit ses propos corroborés par Apple.
La firme de Cupertino estime en effet que ce défaut n’est pas spécifique à l’iPhone. Il conviendrait a contrario d’incriminer le protocole universel PDU (Protocol Description Unit), en vigueur pour l’envoi et la réception de textos.
A cet égard, la plupart des mobinautes seraient concernés, ce de longue date. Cette version des faits corrobore les allusions de Pod2g, qui prétendait dans son billet de blog que l’ensemble était quasi agnostique du logiciel et du matériel.
A cet égard, Apple émet des recommandations similaires et incite à une transition globale vers l’application iMessage, considérée plus sûre et tout particulièrement immune face à de telles pratiques qui relèvent, dans le jargon, du « spoofing ».
« Avec iMessage, les adresses sont systématiquement vérifiées pour prévenir tout acte de hameçonnage (phishing) par usurpation d’identité« , a ainsi résumé un porte-parole à Engadget.
Un nouveau signe avant-coureur de l’arrêt de mort des SMS ?
Loading ...
Il aurait été plus judicieux que corrigé la faille en affichant un alerte quand le numéro dans le champ « reply-to » de l’en-tête est différent du numéro émetteur. Pousser les utilisateurs vers IMessage qui n’est interopérable que dans l’éco-système Apple est un bon moyen de le cloisonner…
n’est-ce pas se foutre du monde que de dire qu il faut utiliser imessage alors qu il est simple d avertir les gens ou d afficher le vrai numéro de réponse??
Ca n’a rien d’une faille, mais c’est le protocole SMS qui veut ça.
On peut faire la même chose vers n’importe quel téléphone portable. Il y a même une extension chrome qui permet de faire ça…
Le protocole SMS ne peut sûrement pas être corriger sans condamner les mobiles qui ne peuvent pas être mis à jour… Est ce pour cela que la mort du sms est potentiellement évoqué ??