Apple se rend finalement compte qu'il peut corriger la faille des SMS sur iPhone
En définitive, il s'agissait bien d'une mauvaise implémentation du protocole des SMS dans iOS.
Selon le bidouilleur, un nombre complètement fou de correctifs de sécurité a été appliqué à iOS 6. La page web dédiée aux correctifs de sécurité peut en témoigner. On remarquera par ailleurs que le colmatage de la brèche a nécessité deux solutions distinctes et concerne les iPhone 3GS à 5, l'iPod Touch 4ème génération et suivants ainsi que les deux dernières générations d'iPad. La page est pour l'heure uniquement disponible en anglais. La version française sera disponible ultérieurement.
La correction de cette brèche met du même coup un terme à la polémique qui était apparue suite aux dénégations d'Apple. Suite à la découverte de cette faille, Apple avait injustement accusé le protocole des SMS d'être à l'origine du problème. Or, il est vite apparu que ce souci ne se retrouvait chez aucun autre grand acteur de la téléphonie mobile (Android, Windows Phone, Symbian...).
Le problème était le suivant : avant iOS 6, c'est le numéro situé sous le champ "Reply-to" qui était affiché au lieu de celui de l'expéditeur. Or, le protocole des SMS permet de dissocier les deux champs et le premier peut en outre être paramétré librement par n'importe quel logiciel d'envoi de SMS. Le souci, c'est qu'Apple a choisi de prendre en référence le numéro du "reply-to", celui-là même qui est modifiable.
Avec ce décalage, il était donc possible de faire croire qu'un SMS provenait d'une personne A (par exemple une banque, un parent, un supérieur hiérarchique) alors qu'en fait celui-ci a été envoyé par une personne B (dont les intentions ne sont a priori par des plus amicales, vu la manœuvre pour tenter de duper le destinataire du message).
Jusqu'à la mise à jour d'iOS 6, Apple avait nié avoir mal intégré le protocole des SMS dans son système d'exploitation. L'entreprise avait même saisi l'occasion pour mieux vanter les mérites de sa solution propriétaire, iMessage, qui n'autorise l'envoi de messages qu'entre appareils Apple. L'entreprise écrivait alors l'information suivante :
"Lorsque vous utilisez iMessage à la place des SMS, les adresses sont vérifiées, ce qui protège contre ces formes d'attaques de spoofing. Une des limitations du SMS est qu'il permet aux messages d'être envoyés avec des adresses falsifiées à n'importe quel téléphone, donc nous pressons les consommateurs d'être très prudents s'ils sont redirigés vers un site web ou une adresse inconnus par SMS".