La faille SMS qui habite l’iPhone fait grand bruit.
Elle est, de l’avis d’Apple, imputable au protocole de transmission des « textos » et par là même commune à bien des téléphones mobiles.
Tel n’est pas le sentiment des experts en sécurité d’AdaptiveMobile, qui contredisent cette version des faits et jugent a contrario que la vulnérabilité est propre au système d’exploitation iOS.
A l’appui de test approfondis menés sur Android, BlackBerry, Symbian et Windows Mobile, les chercheurs aboutissent aux même conclusions qui étaient celles du hacker français Pod2g, qui a découvert le pot aux roses il y a une dizaine de jours.
Ce pirate avait cerné ce subterfuge par lequel un tiers malveillant peut se faire passer pour une personne ou un organisme de confiance (une banque par exemple).
L’artifice s’applique moyennant une simple modification des données dans l’User Data Header (UDH).
Ce conteneur d’en-tête intégré dans le message SMS regroupe notamment des informations d’identification des correspondants.
Par ce biais, l’assaillant malintentionné peut falsifier le numéro du destinataire et en forcer l’affichage par défaut, en regard d’un SMS entrant, en lieu et place du numéro de l’expéditeur.
Naît une confiance illusoire par laquelle l’utilisateur est plus susceptible de s’exécuter sans arrière-pensée, communiquant à son insu des données parfois hautement confidentielles. Une porte ouverte aux escroqueries.
Pod2g n’était pas parvenu à reproduire la faille sur des terminaux autres que l’iPhone.
Face à l’inquiétude montante, Apple s’était défendu de cette exclusivité en incriminant le protocole universel PDU (Protocol Description Unit), en vigueur pour l’envoi et la réception de textos.
La firme de Cupertino avait mis à profit cette annonce pour inviter les mobinautes à migrer vers la solution maison iMessage et ses adresses « systématiquement vérifiées pour prévenir tout acte de hameçonnage (phishing) par usurpation d’identité« .
Au gré de leurs expérimentations, les équipes d’AdaptiveMobile se sont figuré un tout autre état de fait : iOS serait le seul système d’exploitation mobile à ne pas afficher automatiquement le champ expéditeur.
Ce que préconisent pourtant les bonnes pratiques en la matière, comme le rappelle Cnet.
Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…
Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…
L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…
Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…
Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…
Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…