Le chercheur de pod2g a découvert la semaine dernière une faille de sécurité dans l’iPhone qui facilite le vol d’informations par SMS. Comme la vulnérabilité profite d’un changement dans l’en-tête du SMS, la brèche pourrait également exister sur d’autres téléphones. Mais comment savoir quels sont les appareils concernés ? L’entreprise de sécurité mobile AdaptiveMobile a fait des recherches et a constaté que la plupart d’entre eux n’ont pas ce problème.
Rappelez-vous : la faille existe sur l’iPhone depuis cinq ans et consiste à envoyer un SMS à partir d’un numéro mais d’une manière qui semble en être une autre. Dans une attaque réussie, la victime verrait un message provenant d’un numéro connu et, en répondant au SMS, la réponse arriverait à un numéro malveillant. Recherché par la presse, le porte-parole d’Apple a simplement suggéré que les gens utilisent iMessage.
AdaptiveMobile a essayé de simuler l’envoi de SMS sur une série de smartphones avec Android, Windows Mobile, BlackBerry et Symbian. Le changement du numéro de réponse dans l’en-tête du SMS n’a fait aucune différence pour la plupart des appareils. En effet, ces systèmes ignorent simplement l’existence de l’en-tête “Reply-Address” et envoient le message de réponse au numéro qui apparaît à l’écran, ce qui permet d’éviter le problème.
Le BlackBerry a une mise en œuvre très intéressante. Il tient compte de l’en-tête Reply-Address, mais indique clairement à l’utilisateur à quel numéro il envoie son message, comme le recommande la norme 3GPP, sur laquelle le GSM est basé. La spécification du SMS elle-même indique que l’adresse-réponse “peut ouvrir des portes à des abus potentiels”.
Le bogue n’a pas encore été corrigé dans iOS, pas même dans la dernière version bêta. Apple, malheureusement, n’a pas encore montré de signes qu’elle va régler le problème. Non, Apple, tout le monde n’a pas un iPhone pour utiliser iMessage et votre recommandation ne résout pas la vulnérabilité, elle ne fait que jeter le problème sous le tapis.
