Votre iPhone présente une faille de sécurité qui pourrait être considérée comme grave. Découverte par le hacker et le chercheur de pod2g, cette vulnérabilité peut faciliter le vol d’informations personnelles par le biais de messages textes. Un SMS reçu par l’iPhone peut avoir son en-tête modifié, ce qui vous oblige à répondre au message à un numéro malveillant.
La faille de sécurité a duré cinq ans et, selon le hacker, elle existe depuis les premières mises en œuvre de SMS dans iOS. Qui possède encore le premier iPhone, annoncé en janvier 2007, est vulnérable. Et qui utilise un iPhone avec la dernière version bêta d’iOS 6 peut également être visé.
Un SMS est constitué de quelques octets d’informations qui sont échangées entre deux téléphones portables par l’intermédiaire d’un opérateur mobile. Le message texte saisi par l’utilisateur est transmis par l’UDP (Unité des données du protocole) et comporte un en-tête facultatif appelé UDH (en-tête des données de l’utilisateur). C’est dans cet en-tête que réside le gros problème.
L’UDH contient des informations telles que le numéro de l’expéditeur et le numéro de réponse SMS. Comme les opérateurs ne vérifient pas le numéro de réponse et que l’iOS n’affiche pas cette information, le numéro peut être modifié librement sans que l’utilisateur ne s’en aperçoive. Si quelqu’un exploite bien cette faille, l’iPhone affichera un message “envoyé” par une personne que vous connaissez et votre réponse sera envoyée à quelqu’un d’autre.
Cette faille permet à des utilisateurs malveillants de se faire passer pour des employés de votre banque et de saisir des informations personnelles. Si quelqu’un ne vous aime pas, il peut envoyer un SMS avec un en-tête modifié pour l’utiliser comme preuve d’un crime, entre autres maux humains.
Ne faites confiance à personne et n’envoyez jamais d’informations sensibles par SMS (et rappelez-vous qu’une banque ou l’IRS ne vous contactera jamais pour vous demander des données personnelles). La précaution est valable même pour ceux qui n’ont pas d’iPhone, car la panne peut être présente sur n’importe quel appareil qui prend en charge les fonctions UDH.
