Faille SMS sur iPhone : retour de manivelle pour Apple
La faille SMS qui affecte l’iPhone serait propre au système d’exploitation iOS et non au protocole de transmission des textos, comme l’avait laissé entendre Apple.
La faille SMS qui habite l’iPhone fait grand bruit.
Elle est, de l’avis d’Apple, imputable au protocole de transmission des « textos » et par là même commune à bien des téléphones mobiles.
Tel n’est pas le sentiment des experts en sécurité d’AdaptiveMobile, qui contredisent cette version des faits et jugent a contrario que la vulnérabilité est propre au système d’exploitation iOS.
A l’appui de test approfondis menés sur Android, BlackBerry, Symbian et Windows Mobile, les chercheurs aboutissent aux même conclusions qui étaient celles du hacker français Pod2g, qui a découvert le pot aux roses il y a une dizaine de jours.
Ce pirate avait cerné ce subterfuge par lequel un tiers malveillant peut se faire passer pour une personne ou un organisme de confiance (une banque par exemple).
L’artifice s’applique moyennant une simple modification des données dans l’User Data Header (UDH).
Ce conteneur d’en-tête intégré dans le message SMS regroupe notamment des informations d’identification des correspondants.
Par ce biais, l’assaillant malintentionné peut falsifier le numéro du destinataire et en forcer l’affichage par défaut, en regard d’un SMS entrant, en lieu et place du numéro de l’expéditeur.
Naît une confiance illusoire par laquelle l’utilisateur est plus susceptible de s’exécuter sans arrière-pensée, communiquant à son insu des données parfois hautement confidentielles. Une porte ouverte aux escroqueries.
Pod2g n’était pas parvenu à reproduire la faille sur des terminaux autres que l’iPhone.
Face à l’inquiétude montante, Apple s’était défendu de cette exclusivité en incriminant le protocole universel PDU (Protocol Description Unit), en vigueur pour l’envoi et la réception de textos.
La firme de Cupertino avait mis à profit cette annonce pour inviter les mobinautes à migrer vers la solution maison iMessage et ses adresses « systématiquement vérifiées pour prévenir tout acte de hameçonnage (phishing) par usurpation d’identité« .
Au gré de leurs expérimentations, les équipes d’AdaptiveMobile se sont figuré un tout autre état de fait : iOS serait le seul système d’exploitation mobile à ne pas afficher automatiquement le champ expéditeur.
Ce que préconisent pourtant les bonnes pratiques en la matière, comme le rappelle Cnet.