Faille SMS : Apple disculpe son iPhone
La faille SMS qui habite l’iPhone affecterait la quasi-totalité des téléphones mobiles. Apple reprend en ce sens les avertissements du développeur français Pod2g, qui a invité les mobinautes à faire preuve de vigilance face aux pratiques de phishing.
Il semble que la faille SMS qui habite l’iPhone soit commune à bien des téléphones mobiles.
Telle est la vision d’Apple, qui n’a pas tardé à réagir aux avertissements qu’avait émis en ce sens le développeur français Pod2g.
Impliqué sur la scène du jailbreak, le hacker a récemment révélé au grand jour cette vulnérabilité par laquelle un tiers malveillant peut se faire passer pour une personne ou un organisme de confiance.
L’artifice tient à une modification dans l’User Data Header (UDH), ce conteneur d’en-tête qui regroupe notamment des informations d’identification des correspondants.
Il s’agit pour l’assaillant d’orchestrer l’affichage, en regard d’un texto entrant, d’un numéro autre que celui du terminal émetteur. Si la victime potentielle répond, son message sortant est adressé au numéro d’origine et non à celui faussement spécifié dans le champ expéditeur.
Naît une confiance illusoire par laquelle l’utilisateur est plus susceptible de s’exécuter sans arrière-pensée, communiquant à son insu des données parfois hautement confidentielles.
Pod2g a déterminé que dans l’état actuel, aucune version d’iOS ne permet d’afficher les deux numéros en question lorsqu’ils sont différenciés. Une porte grande ouverte aux escroqueries.
En outre, l’intéressé, qui estimait que le subterfuge englobait nombre de téléphones portables, voit ses propos corroborés par Apple.
La firme de Cupertino estime en effet que ce défaut n’est pas spécifique à l’iPhone. Il conviendrait a contrario d’incriminer le protocole universel PDU (Protocol Description Unit), en vigueur pour l’envoi et la réception de textos.
A cet égard, la plupart des mobinautes seraient concernés, ce de longue date. Cette version des faits corrobore les allusions de Pod2g, qui prétendait dans son billet de blog que l’ensemble était quasi agnostique du logiciel et du matériel.
A cet égard, Apple émet des recommandations similaires et incite à une transition globale vers l’application iMessage, considérée plus sûre et tout particulièrement immune face à de telles pratiques qui relèvent, dans le jargon, du « spoofing ».
« Avec iMessage, les adresses sont systématiquement vérifiées pour prévenir tout acte de hameçonnage (phishing) par usurpation d’identité« , a ainsi résumé un porte-parole à Engadget.
Un nouveau signe avant-coureur de l’arrêt de mort des SMS ?