Quelques semaines avant le lancement de l’iPhone 5, Apple est victime d’une faille dans son système d’exploitation iOS. Dernièrement un hacker a détecté une faille au sein de l’iOS lui permettant ainsi d’envoyer des SMS frauduleux. Ce dernier se dissimule sous une fausse identité pour commettre ces méfaits. Le destinataire recevra un SMS pensant qu’il provient d’une source fiable et n’aura donc aucune raison de se méfier de ce message.
Cette faille de sécurité a été détectée par le célèbre hacker Pod2G. Ce dernier est en effet très connu puisqu’il est à l’origine de plusieurs Jailbreaking sur iPhone. Le développeur a découvert que les SMS pouvaient être maquillés afin de tromper la vigilance du destinataire qui pense répondre à un ami. Selon Pod2G une solution existe pour contourner cette faille. Selon lui il suffit d’afficher le numéro du destinataire ainsi que celui de l’expéditeur du SMS. Si les numéros ne correspondent pas, vous devez donc vous astreindre à la plus grande méfiance.
Concernant cette faille de sécurité, elle relève du fonctionnement direct du protocole des SMS. Lorsqu’un utilisateur émet un SMS, ce dernier avant son envoi est convertit en code via le Protocol Description Unit. Ce code contient une zone appelée User Data Header et c’est justement à cet endroit que se situe la faille puisqu’il est possible de réécrire les données de l’expéditeur et du destinataire.
Du côté d’Apple on ne se sent absolument pas concerné par cette faille de sécurité. La firme de l’emblématique Steve Jobs invite ses utilisateurs à se servir de son logiciel iMessage à la place des SMS classiques. Apple a déclaré : « Apple prend la sécurité très au sérieux. Lorsque vous utilisez iMessage à la place des SMS, les adresses sont vérifiées, ce qui protège contre ces formes d’attaques de spoofing. Une des limitations du SMS est qu’il permet aux messages d’être envoyés avec des adresses falsifiées à n’importe quel téléphone, donc nous pressons les consommateurs d’être très prudents s’ils sont redirigés vers un site web ou une adresse inconnue par SMS. »
Dernière mise à jour le 8 mai 2019