iOS : une nouvelle faille touchant les SMS

Aucun système n’est sécurisé à 100%. On peut chercher, se creuser la tête, fouiner un peu partout mais c’est comme ça, le risque zéro n’existe pas et il en va évidemment de même pour toutes nos plateformes mobiles. Cette fois, ce n’est d’ailleurs pas Android qui est pointé du doigt mais iOS, la gentille petite plateforme pommée que l’on retrouve dans nos iPhone, nos iPod Touch et nos iPad. Profitant de ses vacances pour fouiner de ci de là, notre Pod2g national a effectivement mis le doigt sur une vilaine faille de sécurité touchant les SMS. Une faille de sécurité présente sur toutes les versions récentes d’iOS, y compris iOS 6 bêta 4…

iOS : une nouvelle faille touchant les SMS

Mais en qui consiste cette faille de sécurité, au juste ? Et bien en fait, ça s’assimile au spoofing. Plus concrètement et comme l’explique Pod2g, lorsqu’on envoie un SMS d’un mobile à un autre, notre message passe par un protocole spécifique, le PDU, avant de partir ensuite chez l’opérateur qui va bien. Le truc, c’est que tous comme les mails, on va aussi trouver un header avec toutes les infos qui vont bien, un header qui va entre autres choses contenir l’adresse de réponse. Comme ça, lorsqu’on répond à un SMS, ça part directement chez la personne qui nous l’a envoyé au préalable.

Là où les choses deviennent très intéressantes, c’est qu’il est parfaitement possible de changer l’adresse de réponse d’un message. Or sur iOS, lorsqu’on reçoit un message, on ne peut accéder à ces informations et donc à cette fameuse adresse de réponse. En gros, donc, on se contente de répondre et notre message part directement au numéro indiqué dans le header. Grâce à cette faille, donc, et sachant que les opérateurs ne vérifient pas les informations comprises dans cette zone, il est possible de faire pas mal de choses comme de forcer les mobinautes à appeler des numéros surtaxés ou encore se faire passer pour ce que l’on n’est pas.

Notez tout de même que votre humble serviteur n’est pas expert de la question, je vous invite donc à aller directement consulter l’article de Pod2g pour obtenir plus d’informations et, éventuellement, pour lui poser vos questions. Et si vous maitrisez mieux le sujet que moi, n’hésitez pas non plus à compléter cet article dans les commentaires qui le suivent.

Note : Ah et apparemment, cette faille existe depuis la toute première version d’iOS (source). Si l’info est vérifiée, Apple pourra donc remercier Pod2g pour avoir levé ce lièvre. Et ça, faut bien l’avouer, ce serait quand même très très drôle…

Via