L’histoire a débuté vendredi dernier, alors que le blog pod2g pointait du doigt une faille de sécurité sur iOS, qui ne sera pas corrigée avec la sixième version du logiciel d’Apple. Le fait est qu’une faille de sécurité permet de changer le numéro de l’envoyeur lorsque le destinateur le lit. Pour expliquer simplement, celui qui reçoit le SMS voit le numéro de l’envoyeur, qui pourrait s’avérer être un faux. Comme l’explique pod2g, cela pourrait permettre par exemple des opérations de phishing, un hacker pouvant faire croire à un destinataire que c’est sa banque qui lui écrit. Plus grave encore, cette faille n’a pas été corrigée sur iOS 6 beta, et la réponse d’Apple sur l’affaire laisse sceptique.
La firme de Cupertino a en effet décidé de répondre de cette affaire sur le site Engadget, et cette déclaration est fort étonnante. Au lieu de corriger la faille, Apple conseille d’utiliser plutôt le service iMessage, plus sécurisé. Service, qui n’existe que sur les produits Apple.
Apple prend la sécurité très au sérieux. Quand vous utilisez iMessage à la place des SMS, les adresses sont vérifiées et protègent les utilisateurs contre les attaques. L’une des limitations des SMS est qu’ils permettent d’envoyer des messages avec de fausses adresses depuis n’importe quel téléphone, donc nous conseillons d’être extrêmement prudent s’ils sont redirigés vers un site web ou une adresse inconnue via des SMS.
La firme de Cupertino propose donc la solution miracle pour échanger en toute sécurité. Le message est clair, si vous voulez être protégé : achetez Apple. Une réponse qui laisse pantois, et qui ressemble plus à un message marketing qu’à des conseils de sécurité.
🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.
iMessage est une daube lorsque l’on est limite au niveau du réseau. Des fois j’entend le petit bruit qui signifie que le message a bien été envoyé 5 ou 10 minutes après l’avoir envoyé…
Rien d’étonnant c’est apple
@Baz. Perso mon réseau n’est pas super, mais je n’est aucun problème.
http://innovation-68.fr
La daube c’est pas iMessage mais le réseau 3G de la France : )
Pffft… Apple corrigera la faille, mais n’avouera jamais que ses iBidules sont soumis à des failles. Les fans goberont, comme d’hab, et puis va !
Mais cet exemple prouve encore le cynisme sans failles de cette entreprise, pourtant réputée “cool”.
vit0, +1. J’en reste “pantois”, ouais, j’aime bien comme mot.
C’est drôle quand même :
“Apple prend la sécurité très au sérieux.” La faille dans les SMS existe depuis plusieurs versions d’iOS selon le développeur qui l’a trouvé.
J’ai pas d’Iphone donc je connait pas mais est-ce qu’iMessage permet d’envoyer des messages sur des téléphone non-Apple ?
Parce que si ça continue ils vont faire leurs propres norme de téléphonie et l’imposer comme “meilleur”……
Tiens ? Notre spécialiste es anti Apple, n’est pas là ? Shoobo bydo boooooo.
Des failles, des failles, oui, mais des failles zani.
Il serait peut-etre bon de préciser qu’Apple ne risque, a priori, pas de régler la faille sachant qu’elle ne provient pas de ses appareils mais du protocole d’envoi de SMS et que cela touche donc tous les téléphones et tous les opérateurs.
@Maxoo
FAUX!!!
Sinon source?
Bien essayé, mais ça passe pas 🙂
@Maxoo c’est ce que je lisais mais apparemment le problème viendrais du fait que sur les iphones il prends le champs ” reply number” pour afficher le numéro de l’émetteur d’ou vient le problème car il est facilement modifiable.
Au final comme tu le dit la Faille vient bien du protocole d’envoie des SMS mais exploitable sur les iPhones
@Maxoo qu’est-ce qu’il ne faut pas entendre …
@Maxoo,
Je ne crois pas, cette faille a lieu au niveau de l’affichage de l’expéditeur au sein du système, CE N’EST PAS une usurpation de numéro de téléphone. Il reste possible de vérifier le numéro du véritable destinataire et donc la faille n’as pas lieu sur le réseau.
Et ca se dit “haut de gamme”? Pffff
On pouvait faire de même avec un nokia 3310, c´est pas vraiment nouveau le phishing par sms, et sauf erreur de ma part, ca n´a rien a voire avec le téléphone ou l´OS.
@orfeo34 bah sachant que le sms est ” bidouillé ” a l’envoie, c’est vraiment l’iphone qui pose problème ?
Je voyais plutôt la faille sur les sms et l’iphone comme le tools pour exploité cette faille.
Tout comme il fallait tenir l’iPhone d’une certaine façon (acrobatique? 😮 ) pour capter le réseau et contourner le fameux problème d’antenne… Y a pas à dire, chez Apple, y a quand même de sacrés pantins! #pathétique
La façon avec la quelle appel régler tout les problème :
“Acheter un produit ImonCul et vous n’aurez plus de verrues.”
“Acheter en deux je serai heureux”
Apple, la marque la plus “humoristique” quand même !
Je n’ai jamais eu souvenir d’un tel tintinmare à chaque faille de sécurité Windows ou Windows Mobil…pourtant celle qui par message SMS, permet de forcer n’importe quel téléphone sous Windows Phone à redémarrer.et qu’après cette relance forcée, le téléphone est alors incapable d’utiliser à nouveau son service de messagerie, obligeant l’utilisateur à restaurer entièrement le système et perdre ainsi toutes ses données n’a pas fait autant de bruit et puis des sites comme envoyerdesms.org existent depuis des années et on en fait pas tout un plat alors qu’il permettent de faire ce genre de manip…bref un caillou de plus dans la hotte des anti apple mais rien de bien génant non plus…
@Sébastien : la différence c’est que MS a (ou va) patcher le problème… pas Apple qui recommande une solution propriétaire et donc coûteuse (le prix du iDevice)…
surtout que la ça ressemble plus à de la flemme de la part d’Apple de patcher une de leur connerie “utiliser l’adresse de retour comme expéditeur même qu’2ndlr elles sont différentes”
Après un tel torrent de bullshit, je vais essayer de reexpliquer l’article.
Disclamer: j’utilise un iPhone, je l’avoue pour divers raison de sécurité, que j’aime torturer le noyau et que jouer avec les protections est plus fun sur iOS que Android (j’ai d’autres reproches envers ce système mais portent plus sur Google (que je trouve à la botte des opérateurs) et Java).
La faille dont pod2g parle concerne le protocole SMS qui permet de donner une ‘adresse de réponse’ qui fera répondre à ce numéro. Sur le papier, tout client SMS est vulnérable. Le problème avec Messages.app et iOS est qu’il n’y a aucun moyen de savoir si il y a ce numéro de réponse (je ne sais pas si Android est vulnérable mais c’est probable). Apple suggère _en attendant un patch qui ne viendra que dans iOS 6 et auquel plusieurs appareils n’auront pas droit (le premier qui vient couiner sur la fragmentation d’iOS, je le frappe)_, utiliser un système ne possédant pas cette fonctionnalité de réponse est plus sûr. Après, on pense d’iMessage ce qu’on veut (je suis plus mail que SMS donc je n’ai pas d’avis) ou plus largement d’Apple mais là, il s’agit de délation et de manipulation de l’information.
Bien cordialement
Taiki
@vit0 : non, a priori, ce n’est même pas une faille du protocole SMS, c’est son fonctionnement normal, le champ reply-to sert a donner un numéro de téléphone de réponse, aucunement l’expéditeur, qui peuvent être différente. C’est (si mes souvenir son bon) aussi le cas pour les e-mail.
Le plus “grave” ce n’est pas qu’un produit Apple soit victime d’une faille. Ça arrive a tous les systèmes informatiques de souffrir de ce genre de défaut.
Non, ce qui est grave, c’est mettre la poussière sous le tapis et d’orienter “gentiment” les utilisateurs vers la solution maison non compatible avec le restes des appareils du marché.
Attention, il y a des loups dehors, restez bien à l’abris dans notre prison dorée…
@zoroz ca c’est grave on est d’accord, mais tu veux que Apple change le fonctionnement du sms pour dire : haha votre protocole est pétable via les iphones faut tout changer !
@tazvld tiens : http://twit88.com/home/utility/sms-pdu-encode-decode
On voit bien que c’est le fonctionnement normal du sms …
Mais bon les Anti Apple vont pas prendre la peine de lire, il préfère critiquer c’est plus simple pour eux : ) et j’en suis sur que même la moitié qui critique ne savent même pas de quoi ça parle …
Ok, j’avoue le côté flemme…un peu nuisible à la firme…mais bon pas de quoi fouetter un chat quand même… Si je touchais un euro à chaque fois que des devellopeurs ont la flemme de patcher leur applis en fonction des nouvelles normes (je précise que je suis directeur d’exploitation informatique) ben j’aurais une sacrée cagnotte dans mon bureau…
Ouapi enfin faut arrêter le délire : ce n’est pas une faille des iPhone. C’est une faille du système SMS : le spoofing de numéro existe depuis toujours, et est faisable quel que soit l’appareil, iPhone ou pas. Ce n’est pas à Apple de corriger cette faille là.
Sauf que Microsoft n’a pas noyé le poisson et a corrigé la faille… Chaque système est faillible… reste ensuite l’honnêteté de l’entreprise à l’admettre.
C’EST UNE FAILLE D’IOS, PAS UNE FAILLE DU PROTOCOLE SMS.
En effet, Apple s’appuie sur le champ “reply-to” et non au numéro de l’expéditeur. Il suffirait de modifier iOS pour faire l’inverse, tout simplement. Ou alors, d’indiquer un message lorsque le numéro de téléphone “reply to” n’est pas identique à celui de l’expéditeur… Windows Phone le fait, Android aussi (certains logiciels SMS).
Inutile, donc, de noyer le poisson et vendre sa iMessagerieprivée
J’oubliais qu’être fan pouvait conduire à des “raisonnements” manquant totalement d’objectivité. Eh les fans d’Apple, réveillez-vous : les failles ça existe aussi sur vos joujous… comme partout ailleurs ! Mais là, votre entreprise chérie est en train de vous la mettre bien profond en préférant ne rien faire (ou en le faisant en cachette !)
Vivement qu’Apple coule et que ces gens découvrent d’autres pays. C’est triste quand même d’être borné à ce point …
Le n° d’expéditeur peut aussi être spoofé.
Un exemple de plus démontrant qu’Apple est une pompe-à-fric avant tout.
Bon OK, perso je suis Android-Fan et Apple hater (autant le préciser dès le début).
Mais là force est de reconnaître que Maxoo et autres ont raison : c’est un fonctionnement inhérent au protocole SMS (pas une faille mais une fonctionnalité comme on dit). La seule chose qu’on peut reprocher à Apple, c’est d’avoir implémenté le champs optionnel “reply-to” ce qui permet du coup de mettre un numéro différent entre celui affiché et celui de réponse (je mets le numéro d’envoi comme celui de la banque et celui de reply comme le mien, et ensuite j’envoie un sms que le gars croira venir de sa banque pour demander l’envoi du mot de passe qui arrive chez moi – rigolez pas il y a des gens qui répondent).
Et pour info, on peut faire exactement la même chose avec les emails depuis toujours, puisque dans les 2 cas c’est l’expéditeur qui définit les champs “expéditeurs” et “reply-to”.
Bref les seuls téléphones qui sont immunisés sont ceux qui n’ont pas implémenté les champs optionnels du protocole SMS (du coup on répond forcément au numéro affiché comme celui de l’expéditeur, ce qui fait que soit la réponse ira à la banque – si j’ai changé l’adresse – soit l’expéditeur verra que le SMS vient de moi -si j’ai laissé mon numéro).
Là pour le coup tout ce tintamarre est un peu exagéré…
on m’a mis un pouce rouge !
non j’ai un pouce rouge HAAAAAA ! quelle horrible sensation qui envahi mon être.
Allo maman on m’a mis un pouce rouge tu te rend compte ma vie est fichu. qu’es que je vais bien pouvoir faire.
il ne reste plus qu’une chose à faire. Faire ce que tout bon président acclame : “manger des pommes”.
blague mis a part, un bug ça se corrige, on ne réinvente pas la poudre d’une dynamite car un mec à foutu une mèche ininflammable. Il suffit de changer la mèche.
ME TAPEZ PAS !! ^^
C’est ce qu’affirmait plusieurs sites (j’en visite beaucoup lol) ce matin. Donc accordez vos violons entre journalistes sur qui est responsable de cette faille, on en reparle dans 2-3 jours 😀
Je me permet d’ajouter ma pierre à l’édifice, garantit 99% sans troll (juste un petit à la fin).
Relisez bien la source (je dis bien la SOURCE) de l’article :
Les SMS ont parmi leurs fonctionnalités la possibilité d’envoyer un numéro supplémentaire dans un champ nommé “ReplyTo”, en français “répondre à”. C’est une fonctionnalité, pas une faille.
Là où Apple faute, c’est que lorsque un iDevice recoit un sms, l’appareil affiche ce champs au lieu de l’expéditeur. C’est bien une faute d’Apple !
Exemple : lorsque j’invite mes amis à un resto, que je leur demande de répondre à [email protected] parce que c’est lui qui fait la réservation, et que je met dans le champs “ReplyTo” l’adresse [email protected], il est normal que mes amis reçoivent MON adresse en expéditeur, et non pas [email protected].
Pourquoi parle t on de faille ? Parce si une personne mal intentionnée envoie un SMS à des clients d’une banque en mettant dans le champs “ReplyTo” le numéro habituel de la banque et en disant au client d’aller sur tel site changer leur mot de passe pour des raisons de sécurité (le fishing par mail de base quoi), ces clients, s’il ont un appareil signé Apple verront la banque en expéditeur, et non le numéro de la personne.
Par contre, si la personne réponds directement au SMS, c’est bien la banque qui recevra la réponse, ça sert à ça le ReplyTo.
En définitive, la seule chose qu’a à faire Apple, c’est afficher le champs “From” soit l’expéditeur au lieu du champs “ReplyTo”. Et étant développeur, je peux vous dire que c’est une modification que même un débutant pourrait faire. Ne pas vouloir le faire et vendre sa solution commerciale à la place, c’est se foutre de la gueule du monde
MDR tous les posts des haters qui…doivent installer un antivirus sur le Androphone…
Hater…quand tu nous tiens…
Les posts sur Apple sont toujours aussi drôles à lire tellement ça manque d’objectivité, d’intelligence, de recul, de tellement de choses…vous êtes pathétiques…mais tellement amusant!
Cela me rappelle l’AntenaGate de l’Iphone 4.
“Si vous n’arrivez pas à capter de signal….tenez le autrement….”
Le protocole SMS est fait ainsi, c’est pas une faille, mais normalement le champs en question ne devrait pas être modifiable, sur les iphone c’est possible, donc la faille viens bien de chez apple.
@lalu: faux: l’iPhone ne peut pas le faire mais un hacker peut envoyer des mesqages modifiés directement. Renseigne toi un peu avant de dire n’importe quoi
@Taiki FAUX, le problème ici c’est que l’iphone permet d’envoyer un SMS sans le numéro de l’envoyeur, par exemple que avec ORANGE sans aucun numéro et normalement ça ne doit pas être possible, donc la FAILLE EST BIEN DU A L’IPHONE.
C’est vieux comme truc.
Déja avec une appli sur un Treo en 2005,on pouvait le faire,et méme en envoi différé.
mais il est vrai que c’est un sujet épineux.
C’est normal de voir autant de Applehater vu le nombre de fois que les fanboy viennent casser du sucre sur les Androusers…
“Ouais Apple c’est les meilleurs, il y a pas de virus, trop lol anti virus sur Android ! Trololol il y a pas d’appli sur ta bouze …. ”
Le nombre de failles critiques intraseque a iOs est similaire, voir, superieure a celles sur Android, il ne faut pas se leurrer ! Le probleme d’Android, ce sont les gens qui chopent une appli sur un site warez a deux balles, qui a ete modifiee et qui viennent crier ensuite aux malware d’Android !