Il y a quelques jours, nous vous parlions de la vulnérabilité des SMS sur iOS. Pour faire bref, cette faille permettait de changer le numéro de l’envoyeur, une aubaine pour les personnes qui pratiquent le fishing, capables ainsi de se faire passer pour n’importe qui ou n’importe quel organisme.
Sur la bêta d’iOS 6, Apple n’avait pas corrigé le problème et avait demandé aux utilisateurs de préférer iMessage, qui est beaucoup plus sécurisé que le service SMS classique. Bonne nouvelle cependant, dans la version 6 finale d’iOS, fraîchement sortie hier, cette faille a enfin été corrigée.
Le problème venait du protocole PDU qu’utilise Apple, responsable de la transition des messages. Une fois votre message envoyé, il est donc converti en PDU et envoyé vers votre opérateur. Ce protocole permet à l’émetteur de transmettre un numéro de réponse différent de celui d’envoie. Apple a rectifié le tir en affichant désormais le numéro de l’expéditeur et ce, même si une personne essaye de se faire passer pour une autre.
C’est via son compte Twitter que Joshua Hill, qui pour le coup a été crédité par Apple, a annoncé qu’Apple avait fait de nombreuses corrections au niveau de la sécurité et notamment, au niveau la faille SMS.
Le Journal du Geek
Error32
20 sept, 2012, 15:49 #2Enfin bon c’était le minimum de corriger ça plutôt qu’en d’envoyer en touche vers Imessage.
troool
20 sept, 2012, 15:51 #3@Error32: mais non tu sais bien, iOS est parfait, c’est le protocole qui avait des failles mais Apple vient de mettre à jour le protocole entier sur tous les serveurs mondiaux pour fixer ce problème, il n’y avait aucun bug sur les versions précedentes d’iOS. iOS me fait tellement rêver…
arghoops
20 sept, 2012, 15:54 #4« Bonne nouvelle cependant, dans la version 6 finale d’iOS, fraîchement sortie hier, cette faille a enfin été corrigée. »
Si je sais lire je comprends qu’elle est corrigée à présent.
peaknoise
20 sept, 2012, 15:56 #5zepretender
20 sept, 2012, 16:11 #6(ironie, bien sûr !)
Xeno
20 sept, 2012, 16:18 #7Une correction de bug qui ne coûte pas 1 euros ? Oo c’nouveau ca ?
arghoops
20 sept, 2012, 16:24 #8D’où la mà j vers iOS6…
peaknoise
20 sept, 2012, 16:38 #9@arghoops si je ne me trompe pas iphone 3 et inferieur n’ont pas la maj. Ok sa fait peu d’utilisateur mais quand même. C’est une petite maj a faire ce n’est pas dure.
Steven
20 sept, 2012, 16:44 #10« une aubaine pour les personnes qui pratiquent le fishing »
Fishing = Pêche, ce dont tu parle est du Phishing (hameçonnage) si je me trompe pas
Antinoüs
20 sept, 2012, 17:13 #11@peaknoise » [iPhone 3 et inférieur] ça fait peu d’utilisateurs »
Sérieusement, les utilisateurs d’iPhone jettent leur ancien terminal quand ils en achètent un neuf ? Et quand on a un iPhone, on est obligé de le changer tous les 1 ou 2 ans ?
Même si le téléphone usagé n’est pas refourgué dans la famille, vu les prix de reprise d’un iPhone sur les divers sites de rachat, j’imagine qu’une bonne partie des vieux iPhones se trouve toujours en activité. Je doute que ça fasse si « peu d’utilisateurs » que ça…
nerthazrim
20 sept, 2012, 17:14 #12Et évidemment tous les gugusses du dessus prennent cette news comme parole divine en traitant les auteurs de commentaires défendant iOS (seulement sur ce coup-ci) de « Kévin ».
Donc, UN, ce n’est pas une faille. Ni iOS, ni le protocole SMS ne sont faillés là -dessus, c’est simplement la façon dont iOS l’utilisait qui pouvait provoquer des abus.
DEUX, ce « problème » ne permettait PAS de changer l’EXPEDITEUR (mais merde où vous avez lu ça ? C’est écrit nul part !) mais le champ « reply-to ».
Concrètement, dans l’en-tête d’un SMS se trouvent plusieurs champs :
Рexp̩diteur
– destinataire
– reply-to (en gros, le numéro où il « faudrait » répondre).
iOS a fait l’erreur de prendre le numéro présent dans « reply-to », quand vous appuyez sur votre case « Répondre » du téléphone. Concrètement, ce numéro peut être différent de l’expéditeur, cela permet donc à des gens mal intentionnés de faire répondre d’autres gens sur des numéros surtaxés …
Au final donc, iOS prend le numéro présent dans le champ ‘expéditeur’ pour ‘répondre’ à partir d’iOS6, limitant ces abus …
Va vraiment falloir faire quelque le JDG, c’est inadmissible une erreur comme ça. J’espère au moins que la news sera éditée …
skp
20 sept, 2012, 18:15 #13@Nerthazrim Dans notre cas on pouvait, grâce à ios, faire répondre les gens sur des numéros surtaxés, comme tu l’as si bien dit, donc ça porte atteinte au bon fonctionnement de l’os, donc oui c’est une faille.
nerthazrim
20 sept, 2012, 19:09 #14@skp bien sûr que non puisque c’est le comportement VOULU ! Cela permet à des sociétés ou des opérateurs de faire répondre des utilisateurs sur des numéros qui diffèrent de l’expéditeur.
skp
20 sept, 2012, 21:00 #15@nerthazrim Pour ios bien sûr que non, car si cela aurait été le comportement VOULU, il l’aurait pas CORRIGÉ
pakalatak
21 sept, 2012, 07:31 #16D’accord avec nerthazrim, c’est pareil pour un e-mail.
Il faudrait peut-être qu’ils te préviennent pour que tu valides la reply-address, mais comme dit Microsoft : « It’s not a bug, it’s a feature »
allchimiste
21 sept, 2012, 08:31 #17Un SMS n’est pas un mail. Tu ne peut pas envoyer un mail a une adresse surtaxée.
Donc le fait de pouvoir modifier le numéro de réponse était un « Mauvais choix » (pour les fan boy Apple) et quand a moi je dirais que c’était une grave « Faille » de sécurité
Je ne dénigre pas le IOS, je possède un Ipod Touch 1G de 16Go. J’ai adorer a l’époque cet OS, mais le fait que l’OS soit fermer et impossible a personnalisé m’a un peut « refroidit » et quand j’ai connut les Smartphone Androïde, (beaucoup moins chère) j’ai préférer ceux-ci.
marcooo
5 oct, 2012, 22:35 #18mon cul, oui. Rien ne fonctionne sur les SMS en ios 6. Il faut que appel se bouge les fesses et arrête de se gargariser tout seul sur des solutions incomplètes qui ramène l’utilisation de l’iphone à un usage préhistorique. Les SMS cest la base de la téléphonie mobile et il faut que ca marche parfaitement si on veut jouer dans la cour des grands. A ce rythme là , Samsung prendra rapidement le leadership …