Alors qu'il lui serait simple de modifier sa gestion des SMS pour éviter à ses clients de tomber dans les pièges dressés par des arnaqueurs, Apple leur conseille d'utiliser sa solution iMessage, qui ne fonctionne qu'entre appareils iOS. Ou comment générer un sentiment d'insécurité sur un standard ouvert pour vendre une prison soit-disant plus sûre.

Pourquoi s'embêter à corriger une faille de sécurité lorsqu'on peut tourner le bug à son avantage et en faire en argument commercial ? Vendredi, l'expert en sécurité iOS Pod2g a publié sur son blog un billet qui explique que tous les téléphones d'Apple, y compris le futur iPhone 5 équipé d'iOS 6, ont une faille de sécurité dans leur gestion de l'affichage des SMS. Mais plutôt que de chercher à corriger la faille, ce qui serait très simple, Apple préfère vanter les mérites de sa solution propriétaire iMessage.

Dans son billet, Pod2g expliquait en effet qu'il est possible d'envoyer un SMS à un iPhone en faisant croire au destinataire que le message a été envoyé par un autre expéditeur. La faille pourrait être exploitée par des hackers pour envoyer des messages paraissant émaner d'une banque (affichant l'URL d'un site de phishing pour accéder à plus d'informations), par un détraqué pour envoyer un faux rendez-vous à sa victime, etc.

Le problème semble facile à corriger. Lorsque l'iPhone reçoit un message SMS, il lit l'entête du message (User Data Header) dans laquelle figure un champ "reply-to", qui indique le numéro de téléphone à utiliser pour répondre au message. Dans la très grande majorité des cas, il s'agit du numéro de l'expéditeur. Mais le protocole permet des les dissocier. Or plutôt que d'afficher le numéro de l'expéditeur, Apple a choisi de prendre en référence le numéro du "reply-to", qui peut être modifié librement. Il suffirait donc qu'Apple affiche les deux numéros, ou au moins qu'il affiche une alerte lorsque les numéros d'expéditeur et de réponse ne sont pas identiques et qu'il y a donc un doute sur l'origine du message. Il pourrait aussi ne prendre que le numéro d'expéditeur en référence, et ignorer le champ "reply-to".

Mais au lieu de modifier iOS, Apple critique le protocole des SMS et vante les mérites de sa propre solution propriétaire iMessage, qui ne fonctionne qu'entre appareils Apple (une astuce supplémentaire pour éviter que les clients ne changent trop facilement de crèmerie). La firme de Cupertino a en effet envoyé cette seule réaction au site Engadget :

Apple prend la sécurité très au sérieux. Lorsque vous utilisez iMessage à la place des SMS, les adresses sont vérifiées, ce qui protège contre ces formes d'attaques de spoofing. Une des limitations du SMS est qu'il permet aux messages d'être envoyés avec des adresses falsifiées   à n'importe quel téléphone, donc nous pressons les consommateurs d'être très prudents s'ils sont redirigés vers un site web ou une adresse inconnus par SMS.

Une leçon d'hypocrisie.

Partager sur les réseaux sociaux

Articles liés