Il semble que la faille SMS qui habite l’iPhone soit commune à bien des téléphones mobiles.
Telle est la vision d’Apple, qui n’a pas tardé à réagir aux avertissements qu’avait émis en ce sens le développeur français Pod2g.
Impliqué sur la scène du jailbreak, le hacker a récemment révélé au grand jour cette vulnérabilité par laquelle un tiers malveillant peut se faire passer pour une personne ou un organisme de confiance.
L’artifice tient à une modification dans l’User Data Header (UDH), ce conteneur d’en-tête qui regroupe notamment des informations d’identification des correspondants.
Il s’agit pour l’assaillant d’orchestrer l’affichage, en regard d’un texto entrant, d’un numéro autre que celui du terminal émetteur. Si la victime potentielle répond, son message sortant est adressé au numéro d’origine et non à celui faussement spécifié dans le champ expéditeur.
Naît une confiance illusoire par laquelle l’utilisateur est plus susceptible de s’exécuter sans arrière-pensée, communiquant à son insu des données parfois hautement confidentielles.
Pod2g a déterminé que dans l’état actuel, aucune version d’iOS ne permet d’afficher les deux numéros en question lorsqu’ils sont différenciés. Une porte grande ouverte aux escroqueries.
En outre, l’intéressé, qui estimait que le subterfuge englobait nombre de téléphones portables, voit ses propos corroborés par Apple.
La firme de Cupertino estime en effet que ce défaut n’est pas spécifique à l’iPhone. Il conviendrait a contrario d’incriminer le protocole universel PDU (Protocol Description Unit), en vigueur pour l’envoi et la réception de textos.
A cet égard, la plupart des mobinautes seraient concernés, ce de longue date. Cette version des faits corrobore les allusions de Pod2g, qui prétendait dans son billet de blog que l’ensemble était quasi agnostique du logiciel et du matériel.
A cet égard, Apple émet des recommandations similaires et incite à une transition globale vers l’application iMessage, considérée plus sûre et tout particulièrement immune face à de telles pratiques qui relèvent, dans le jargon, du « spoofing ».
« Avec iMessage, les adresses sont systématiquement vérifiées pour prévenir tout acte de hameçonnage (phishing) par usurpation d’identité« , a ainsi résumé un porte-parole à Engadget.
Un nouveau signe avant-coureur de l’arrêt de mort des SMS ?
Deux offres de cybersécurité portées par ITrust et Docaposte intègrent des suites collaboratives. Présentation.
Les dernières migrations de Windows 10 vers Windows 11 vont accélérer l'adoption des PC IA. Mais des…
L’IA générative excelle dans plusieurs cas d’usage, notamment dans l’analyse, la recherche et la synthèse…
Trop tôt pour envisager d'acquérir un PC Copilot+ ? Les roadmaps d'Intel et d'AMD peuvent…
Dévoilés lors du CES 2025, les PC Copilot+ au format convertible restent encore limitée dans…
Les fonctionnalités de Gemini sont intégrées dans la suite bureautique Google Workspace. Conséquence : les…