1091-image1-fr1345713380.jpg

Usurpation d’identité via les SMS d’un iPhone

Un expert en sécurité iOS, Pod2g, vient de découvrir une faille de sécurité sérieuse dans la gestion des SMS des iPhones. Apple reconnaît qu’il est possible d’usurper une identité en envoyant des SMS à partir des iPhones dotés d’iOS. Sa solution : passer sous iMessage plutôt que de corriger la faille.
 
Pod2g, célébre hacker et expert en sécurité iOS, dévoile sur son blog, une faille de sécurité dans les iPhones d’Apple. Un SMS peut-être envoyé à un iPhone en usurpant l’identité d’une personne. La personne qui reçoit le SMS croit qu’il s’agit d’un de ses contacts. N’importe qu’elle personne mal intentionnée peut se faire passer pour une banque, un ami, etc et récolter des informations privées.
 

La cause : le champ reply-to

Dans l’entête du message, le champ « reply-to » affiche le numéro de téléphone à utiliser pour répondre.
Le protocole PDU (Protocol data unit), pour envoyer des SMS, permet de dissocier le numéro de l’expéditeur du message et le numéro du « reply-to » qui peut-être modifier facilement.
Apple a préféré afficher le numéro du reply-to plutôt que celui de l’expéditeur. L’utilisateur perd alors la trace de la personne qui a envoyé le message. Sur les autres téléphones seul le numéro de l’expéditeur s’affiche.
 

iMesage

Plutôt que de corriger la faille de sécurité, pourtant facile à réaliser selon les experts, Apple invite ses utilisateurs à se diriger vers son service iMessage qui ne fonctionne qu’entre les appareils Apple :
"Apple prend la sécurité très au sérieux. Lorsque vous utilisez iMessage à la place des SMS, les adresses sont vérifiées, ce qui protège contre ces formes d’attaques de spoofing. Une des limitations du SMS est qu’il permet aux messages d’être envoyés avec des adresses falsifiées   à n’importe quel téléphone, donc nous pressons les consommateurs d’être très prudents s’ils sont redirigés vers un site web ou une adresse inconnus par SMS."
 

iPhone 5

La faille de sécurité dans la gestion des SMS d’Apple concerne tous les appareils dotés d’iOs. Le futur iPhone 5 qui devrait être présenté le 12 septembre 2012 et disponible le 21 septembre selon le site TechCrunch ne sera pas épargné.
 
 
Sources :  numerama ; engadget ; techcrunch ; pod2g

 

 

Auteur : Hélène Guérin

Hélène Guérin
Rédactrice, j'aime m'amuser avec les mots. C'est sûrement dû à ma dyslexie. Pourquoi écrire pour le Web ? Je baigne dedans au quotidien (webdesigner - ergonome) alors je veille sur les dernières technologies.

Commentaires Facebook

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *