Avec iOS 6, Apple a apporté de nombreux correctifs de sécurité. Parmi eux, deux patchs viennent résoudre la mauvaise implémentation du protocole des SMS dans iOS. Cette mauvaise intégration du protocole avait engendré une polémique, Apple estimant que c'est le protocole qui avait été mal pensé. Il avait profité de cette occasion pour mettre en avant iMessage.

//www.numerama.com//content/uploads/2012/09/messages_hero1.jpgEn définitive, il s'agissait bien d'une mauvaise implémentation du protocole des SMS dans iOS. La vulnérabilité découverte en août par l'expert en sécurité informatique pod2g vient d'être corrigée avec la sixième version du système d'exploitation mobile d'Apple. C'est le constat du hacker Joshua Hill, plus connu sous le pseudonyme p0sixninja, qui participe au projet Greenpois0n.

Selon le bidouilleur, un nombre complètement fou de correctifs de sécurité a été appliqué à iOS 6. La page web dédiée aux correctifs de sécurité peut en témoigner. On remarquera par ailleurs que le colmatage de la brèche a nécessité deux solutions distinctes et concerne les iPhone 3GS à 5, l'iPod Touch 4ème génération et suivants ainsi que les deux dernières générations d'iPad. La page est pour l'heure uniquement disponible en anglais. La version française sera disponible ultérieurement.

La correction de cette brèche met du même coup un terme à la polémique qui était apparue suite aux dénégations d'Apple. Suite à la découverte de cette faille, Apple avait injustement accusé le protocole des SMS d'être à l'origine du problème. Or, il est vite apparu que ce souci ne se retrouvait chez aucun autre grand acteur de la téléphonie mobile (Android, Windows Phone, Symbian…).

Le problème était le suivant : avant iOS 6, c'est le numéro situé sous le champ "Reply-to" qui était affiché au lieu de celui de l'expéditeur. Or, le protocole des SMS permet de dissocier les deux champs et le premier peut en outre être paramétré librement par n'importe quel logiciel d'envoi de SMS. Le souci, c'est qu'Apple a choisi de prendre en référence le numéro du "reply-to", celui-là même qui est modifiable.

Avec ce décalage, il était donc possible de faire croire qu'un SMS provenait d'une personne A (par exemple une banque, un parent, un supérieur hiérarchique) alors qu'en fait celui-ci a été envoyé par une personne B (dont les intentions ne sont a priori par des plus amicales, vu la manœuvre pour tenter de duper le destinataire du message).

Jusqu'à la mise à jour d'iOS 6, Apple avait nié avoir mal intégré le protocole des SMS dans son système d'exploitation. L'entreprise avait même saisi l'occasion pour mieux vanter les mérites de sa solution propriétaire, iMessage, qui n'autorise l'envoi de messages qu'entre appareils Apple. L'entreprise écrivait alors l'information suivante :

"Lorsque vous utilisez iMessage à la place des SMS, les adresses sont vérifiées, ce qui protège contre ces formes d'attaques de spoofing. Une des limitations du SMS est qu'il permet aux messages d'être envoyés avec des adresses falsifiées à n'importe quel téléphone, donc nous pressons les consommateurs d'être très prudents s'ils sont redirigés vers un site web ou une adresse inconnus par SMS".

Partager sur les réseaux sociaux

Articles liés