Il y a une dizaine de jours, un expert en sécurité avait dénoncé la présence d'une faille de sécurité sur iOS, qui permet d'envoyer un SMS en faisant croire qu'il provient d'un autre expéditeur. La faille peut être exploitée pour envoyer un SMS contenant une URL piégée, pour donner rendez-vous à une victime en faisant croire qu'elle doit voir un ami, ou encore pour envoyer de faux messages devant servir de preuves de culpabilité devant un tribunal. Seule l'imagination des fraudeurs pose des limites à ce qu'il est possible de faire en exploitant l'astuce.
Comme nous l'avions expliqué, Apple peut parfaitement corriger le problème, qui est dû au fait que son système d'exploitation utilise le champ "reply-to" du SMS pour afficher le nom de l'expéditeur, alors qu'il s'agit du champ facultatif que l'on peut modifier pour indiquer un autre numéro à utiliser pour répondre au message. Il suffirait qu'Apple affiche le numéro de l'expéditeur même lorsque le "reply-to" diffère, ou qu'il affiche un message d'alerte lorsque les deux champs ne sont pas les mêmes.
Mais plutôt que d'annoncer un correctif, Apple a préféré exploiter le buzz pour faire la promotion de son protocole fermé iMessage, qui ne fonctionne qu'entre appareils sous iOS. "Lorsque vous utilisez iMessage à la place des SMS, les adresses sont vérifiées, ce qui protège contre ces formes d'attaques de spoofing. Une des limitations du SMS est qu'il permet aux messages d'être envoyés avec des adresses falsifiées à n'importe quel téléphone", avait expliqué la firme de Cupertino.
Or une société de consultants en sécurité informatique, interrogée par CNet, confirme que la faille n'existe que sur les iPhone, et donc qu'Apple est bien le seul et unique responsable.
"Nous avons testé ce problème sur des téléphones Android, Windows Mobile, BlackBerry et Symbian, et la plupart d'entre-eux ignorent simplement le champ "adresse de réponse" ou affichent à la fois l'adresse d'origine et l'adresse de réponse, comme l'indiquent les recommandations des spécifications", explique l'analyste Cathal McDaid.
"L'iPhone, jusqu'à présent, est le seul appareil qui ne se conforme pas à ces recommandations de sécurité".
Interrogé par le site américain, Apple continue de s'enfermer dans le silence, en laissant sa première réponse d'une mauvaise foi confondante comme seule réaction publique…
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.