crédit photo © drx - Fotolia.com
Utiliser la fonction SMS d’un iPhone peut être dangereux. C’est ce qu’a révélé Pod2g, un chercheur en sécurité sur son blog, le 17 août dernier. Il met en évidence une faille de sécurité visant à tromper l’utilisateur lorsqu’il répond à un SMS.
Le chercheur explique que les SMS (et autres systèmes d’envoi de messages à base de texte, comme les alertes ou les messages vocaux) s’appuient sur PDU (Protocol Description Unit), un protocole complexe qui permet le transport des messages d’un téléphone mobile à un autre (ou plusieurs) par les opérateurs.
Parmi ses options, PDU propose de modifier le numéro d’envoi de la réponse. Dans ce cas, l’utilisateur ne répond pas à l’expéditeur, mais à un autre destinataire à son insu.
Une bonne implémentation de cette option doit permettre à l’utilisateur de voir le numéro de téléphone original de l’expéditeur et celui auquel il répond. Une fonctionnalité qu’Apple n’a visiblement pas pris la peine d’implémenter correctement, selon Pod2g. « Sur l’iPhone, lorsque vous recevez le message, il semble venir de celui qui l’envoie et vous perdez trace du numéro original », écrit-il.
Conséquence, cette faille peut-être utilisée pour soutirer des informations personnelles ou pour des tentatives de phishing (un message supposé venir de votre banque vous demandant de fournir des données ou se connecter à un site, etc.). Peut-être pire, faire croire que vous êtes en liaison avec telle ou telle personne/organisation et vous faire accuser à tort. Bref, la faille peut être exploitée dans tous les types de manipulations dont raffolent les pirates.
Point inquiétant : Pod2g ne doute pas que cette faille est connue de la plupart des chercheurs en sécurité et, donc, d’Apple mais aussi des pirates. Et qu’elle existe depuis l’implémentation du SMS dans l’iPhone.
Une faiblesse qui, au passage, ne concernerait pas les téléphones sous Android, BlackBerry, Windows Phone et Symbian pour l’heure. Apple profitera-t-il d’iOS 6 pour daigner combler cette vulnérabilité ? Cela semble mal parti. Elle figure toujours dans la version bêta 4 de l’OS mobile.
Crédit photo © drx – Fotolia.com
Voir aussi
Quiz Silicon.fr – Connaissez-vous les OS mobiles ?
Un modèle GPT-4o mini rejoint le catalogue d'OpenAI. De la conception à l'évaluation, il a…
La Cour des comptes appelle à formaliser et à professionnaliser certains aspects du RIE, tout…
La Cour des comptes attire l'attention sur le risque d'affaiblissement d'Etalab, privé, ces dernières années,…
Missions historiques de la Dinum, l'ouverture des données publiques et la promotion des logiciels libres…
Pour développer une version 7B de son modèle Codestral, Mistral AI n'a pas utilisé de…
L’Autorité de la concurrence et des marchés (CMA) britannique ouvre une enquête sur les conditions…