Envoyer un SMS depuis un iPhone peut-être dangereux

Christophe Lagane,
Alerte aux failles critiques

Une faille d’iOS permet à des pirates de détourner le numéro de téléphone lorsqu’un correspondant répond à un SMS.

Utiliser la fonction SMS d’un iPhone peut être dangereux. C’est ce qu’a révélé Pod2g, un chercheur en sécurité sur son blog, le 17 août dernier. Il met en évidence une faille de sécurité visant à tromper l’utilisateur lorsqu’il répond à un SMS.

Une option trompeuse

Le chercheur explique que les SMS (et autres systèmes d’envoi de messages à base de texte, comme les alertes ou les messages vocaux) s’appuient sur PDU (Protocol Description Unit), un protocole complexe qui permet le transport des messages d’un téléphone mobile à un autre (ou plusieurs) par les opérateurs.

Parmi ses options, PDU propose de modifier le numéro d’envoi de la réponse. Dans ce cas, l’utilisateur ne répond pas à l’expéditeur, mais à un autre destinataire à son insu.

Une bonne implémentation de cette option doit permettre à l’utilisateur de voir le numéro de téléphone original de l’expéditeur et celui auquel il répond. Une fonctionnalité qu’Apple n’a visiblement pas pris la peine d’implémenter correctement, selon Pod2g. « Sur l’iPhone, lorsque vous recevez le message, il semble venir de celui qui l’envoie et vous perdez trace du numéro original », écrit-il.

Une faille présente depuis l’origine

Conséquence, cette faille peut-être utilisée pour soutirer des informations personnelles ou pour des tentatives de phishing (un message supposé venir de votre banque vous demandant de fournir des données ou se connecter à un site, etc.). Peut-être pire, faire croire que vous êtes en liaison avec telle ou telle personne/organisation et vous faire accuser à tort. Bref, la faille peut être exploitée dans tous les types de manipulations dont raffolent les pirates.

Point inquiétant : Pod2g ne doute pas que cette faille est connue de la plupart des chercheurs en sécurité et, donc, d’Apple mais aussi des pirates. Et qu’elle existe depuis l’implémentation du SMS dans l’iPhone.

Une faiblesse qui, au passage, ne concernerait pas les téléphones sous Android, BlackBerry, Windows Phone et Symbian pour l’heure. Apple profitera-t-il d’iOS 6 pour daigner combler cette vulnérabilité ? Cela semble mal parti. Elle figure toujours dans la version bêta 4 de l’OS mobile.

Crédit photo © drx – Fotolia.com

Voir aussi
Quiz Silicon.fr – Connaissez-vous les OS mobiles ?