N'en déplaise aux fans d'Apple qui n'avaient pas cru à sa culpabilité, la firme de Cupertino est bien responsable de la faille qui permet d'envoyer un SMS sur un iPhone en prétendant qu'il émane d'un tiers. Le problème dénoncé ce mois-ci n'est présent ni sur Android, ni sur Windows Phone, ni sur BlackBerry, ni sur Symbian.

Il y a une dizaine de jours, un expert en sécurité avait dénoncé la présence d'une faille de sécurité sur iOS, qui permet d'envoyer un SMS en faisant croire qu'il provient d'un autre expéditeur. La faille peut être exploitée pour envoyer un SMS contenant une URL piégée, pour donner rendez-vous à une victime en faisant croire qu'elle doit voir un ami, ou encore pour envoyer de faux messages devant servir de preuves de culpabilité devant un tribunal. Seule l'imagination des fraudeurs pose des limites à ce qu'il est possible de faire en exploitant l'astuce.

Comme nous l'avions expliqué, Apple peut parfaitement corriger le problème, qui est dû au fait que son système d'exploitation utilise le champ "reply-to" du SMS pour afficher le nom de l'expéditeur, alors qu'il s'agit du champ facultatif que l'on peut modifier pour indiquer un autre numéro à utiliser pour répondre au message. Il suffirait qu'Apple affiche le numéro de l'expéditeur même lorsque le "reply-to" diffère, ou qu'il affiche un message d'alerte lorsque les deux champs ne sont pas les mêmes.

Mais plutôt que d'annoncer un correctif, Apple a préféré exploiter le buzz pour faire la promotion de son protocole fermé iMessage, qui ne fonctionne qu'entre appareils sous iOS. "Lorsque vous utilisez iMessage à la place des SMS, les adresses sont vérifiées, ce qui protège contre ces formes d'attaques de spoofing. Une des limitations du SMS est qu'il permet aux messages d'être envoyés avec des adresses falsifiées à n'importe quel téléphone", avait expliqué la firme de Cupertino.

Or une société de consultants en sécurité informatique, interrogée par CNet, confirme que la faille n'existe que sur les iPhone, et donc qu'Apple est bien le seul et unique responsable. 

"Nous avons testé ce problème sur des téléphones Android, Windows Mobile, BlackBerry et Symbian, et la plupart d'entre-eux ignorent simplement le champ "adresse de réponse" ou affichent à la fois l'adresse d'origine et l'adresse de réponse, comme l'indiquent les recommandations des spécifications", explique l'analyste Cathal McDaid.

"L'iPhone, jusqu'à présent, est le seul appareil qui ne se conforme pas à ces recommandations de sécurité".

Interrogé par le site américain, Apple continue de s'enfermer dans le silence, en laissant sa première réponse d'une mauvaise foi confondante comme seule réaction publique…

Partager sur les réseaux sociaux

Articles liés