iPhone

SMS : Apple recommande la prudence



Apple a répondu par une déclaration à Engadget à propos de la faille relative aux SMS sur iOS. Ou plutôt qu'une faille, sur la manière qu'a iOS de ne pas afficher toutes les informations sur l'origine exacte d'un SMS.

Sa réponse laisse à penser qu'elle n'entend pas y apporter de modification, même sur l'interface d'affichage des messages. Elle présente les choses comme une lacune inhérente aux SMS :

Apple prend les questions de sécurité très au sérieux. Lors de l'utilisation d'iMessage au lieu des SMS, les adresses sont vérifiées et cela protège contre ce genre d'attaques par usurpation d'identité. Une des limites des SMS est qu'ils permettent d'envoyer des messages avec des adresses usurpées à n'importe quel téléphone, c'est pourquoi nous insistons auprès de nos clients pour qu'ils soient extrêmement prudents s'ils sont dirigés vers un site ou une adresse inconnus via un SMS.

Comme l'expliquait pod2g sur son blog, l'envoi de ces messages est dicté par un protocole standard. Parmi ses possibilités, il offre à l'émetteur celle de transmettre deux numéros de téléphone distincts : le premier étant le numéro d'envoi et le second le numéro sur lequel vous êtes invité à répondre. Seulement, poursuit pod2g, Apple a choisi de ne pas afficher ces deux informations, mais seulement le second, empêchant de s’enquérir de l’identité réelle de l’émetteur (lire aussi iOS : une faille dans les SMS).

Vos réactions

redchou [18.08.2012 - 21:30] via MacG Mobile

C'est con, c'est super simple d'afficher les d'ex numéros dans le cas ou ils sont différents...

Fars [18.08.2012 - 22:07] via MacG Mobile

@redchou :
comment fait on?

CleverF0x [18.08.2012 - 22:50] via MacG Mobile

@redchou :
+1
Apple n'aurait pas grd chose à faire ... Mais quiconque oserait désirer une chose qu'Apple ne veut pas est un hérétique, semblerait-il ^^ enfin bon :)

Funigtor [18.08.2012 - 21:32] via MacG Mobile

C'pas encore trop grave comme faille...

LR Monkey [18.08.2012 - 21:52] via iGeneration pour iPad

@Funigtor

Oui mais ça se corrige !

Mark Twang [18.08.2012 - 21:56] via iGeneration pour iPad

Apple est trop léger là-dessus...

anti2703 [18.08.2012 - 22:38] via MacG Mobile

À mon avis, bientôt un tweak sur cydia et c'est réglé :)

Steeve J. [18.08.2012 - 22:42] via MacG Mobile

@anti2703 :
Ça fait d'ailleurs longtemps qu'il y a des apps Cydia qui permettent d'envoyer des SMS en ce fesant passer pour un autre numéro et la même chose pour les mails !

Frodor [18.08.2012 - 23:23] via MacG Mobile

@Steeve J. :
tu pourrais apporter plus de précisions pour les SMS ? C'est la 1ère fois dont j'entends parler d'un tel tweak; quel est son nom ?

Domsou [18.08.2012 - 23:44] via MacG Mobile

@anti2703 :
'À mon avis, bientôt un tweak sur cydia et c'est réglé :)'

Je serai curieux de voir la solution apportée par un tel tweak.

Adricol0 [18.08.2012 - 23:47] via MacG Mobile

@domsou :
L'affichage des deux numéros en cas de différence entre le premier et le second. En 15 lignes de code c'est réglé.

Domsou [19.08.2012 - 08:58] via MacG Mobile

@Adricol0 :
'@domsou :
L'affichage des deux numéros en cas de différence entre le premier et le second. En 15 lignes de code c'est réglé.'

Ah ! Bien sûr ! Pourquoi les développeurs de chez Apple n'y ont pas pensé...

C'est le grand classique du développement informatique : « il n'y a qu'à faire comme cela ». C'est tellement simple l'informatique ainsi.

jdCaptcha [19.08.2012 - 09:32]

'@Adricol0 :
'@domsou :
L'affichage des deux numéros en cas de différence entre le premier et le second. En 15 lignes de code c'est réglé.'

Ah ! Bien sûr ! Pourquoi les développeurs de chez Apple n'y ont pas pensé...'

Justement on se le demande :

echo 'From: ' . $t_from;
if ( $t_from != $t_reply_to ) {
echo 'Reply to: ' . $t_reply_to;
}

Ecrit en 4 lignes en PHP, il n'y a plus qu'à convertir dans le language qui va bien...

Domsou [19.08.2012 - 09:53] via MacG Mobile

@jdCaptcha :
Ce bout de code correspond à quelle réponse apportée au problème ?
Vous confondez la fonctionnalité et sa réalisation en négligeant quasiment tout le processus de développement logiciel.
Le code n'est qu'une toute petite partie du développement logiciel.

Mais pour illustrer mon propos, que faites beaucoup de votre magnifique code maintenant ?
Comment il s'insère dans l'existant ?
À quel numéro doit répondre l'utilisateur ?
...

Domsou [19.08.2012 - 09:54] via MacG Mobile

@domsou :
pardon, que faites vous...

jdCaptcha [19.08.2012 - 19:15]

Au niveau de l'affichage du From comme c'est indiqué dans mon code... La "faille" ici ne concerne que l'affichage, rien d'autre.

hadrien.eu [19.08.2012 - 14:08] via MacG Mobile

@jdCaptcha :
'Justement on se le demande :

echo 'From: ' . $t_from;
if ( $t_from != $t_reply_to ) {
echo 'Reply to: ' . $t_reply_to;
}

Ecrit en 4 lignes en PHP, il n'y a plus qu'à convertir dans le language qui va bien...'
MDR !
Allez, retourne faire du php :)

jodido [19.08.2012 - 18:14] via MacG Mobile

@jdCaptcha :
je veux bien te défendre sur un point de l'utilité de ton code ça sert juste à démonter que le php c'est de la merde. Dans un vrai langage ce que tu as écrit peut s'écrire en une ligne (ou alors c'est peut être faisable aussi en php mais j'en doute)

CleverF0x [19.08.2012 - 23:17] via MacG Mobile

@bugman :
'Non seulement ce qu'il dit est pertinent mais surtout, avant de vous foutre de lui comme vous le faites, apprenez a vous documenter vous aurez l'air un peu moins cons à essayer de le casser. Et entre nous soit dit, ce format est plus compréhensible pour les non codeurs lisant son commentaire.'
+1

Putko007 [18.08.2012 - 22:47] via MacG Mobile

Je crois qu'il s'agit de failles du GSM en général. Il est très facile de changer son numéro d'appelant avec certains services peu scrupuleux qu'on trouve (facilement) sur internet...

Tomn [18.08.2012 - 23:15] via MacG Mobile

C'est la même chose (et même encore pire) pour les mails alors que personne ne critique face aux milliards de spams …

Vous voulez que cette information s'affiche où précisément ? Histoire de ne pas encombrer l'UI et d'être vraiment utile aux utilisateurs (car je crois que même en l'affichant ça ne changerait rien).

Il y a toujours des libertés qui se confondent avec des failles en informatique, surtout niveau anonymat.

Yyyes [19.08.2012 - 00:05] via MacG Mobile

@Tomn :
+1... Encore une tempête dans un vers d'eau (en tous cas pour les Apple haters :)

jdCaptcha [19.08.2012 - 09:36]

'C'est la même chose (et même encore pire) pour les mails alors que personne ne critique face aux milliards de spams …'

Bah c'est comme pour le courrier classique. Sur l’enveloppe, en plus de l'adresse de destination, chacun mets ce qu'il veut comme adresse d'expéditeur.

Domsou [18.08.2012 - 23:38] via MacG Mobile

Il me semble avoir reçu ce genre de SMS bidons. Il suffit de ne pas y répondre, c'est comme les mails de phishing.

XiliX [18.08.2012 - 23:46]

Comme je disais sur l'autre fil...
Je ne veux pas que Apple affiche les deux numéros. Mes collègues doivent souvent appeler nos clients depuis leur portable. Mais nos clients ne doivent pas les appeler directement sur leur portable. Ils doivent passer par notre central d'appel. Et c'est bien le numéro de notre central d'appel qui s'affiche au lieu le numéro de leur portable.
Puisque cette fonctionnalité est prévue dans le protocole standard, ce n'est donc pas une faille. Apple a du faire un choix et ils ont choisi. Personnellement j'approuve totalement car elle correspond à notre fonctionnement.

XiliX [18.08.2012 - 23:56]

J'ajouterais donc... si on ne veut pas que le numéro "d'alias" puisse être utilisé par une personne quelconque, il faudra que les instances responsables modifient le protocole.
Par exemple, une authentification pour pouvoir utiliser le numéro d'alias et laisser le fonctionnement actuel.

jdCaptcha [19.08.2012 - 09:38]

Oui enfin ça ne marche que si vos clients ont des iPhone...

hadrien.eu [18.08.2012 - 23:47] via MacG Mobile

Ce qui me fait doucement rigoler, c'est que je n'ai jamais vu le moindre téléphone offrir la possibilité de voir ces informations. Mais bon, la c'est Apple alors c'est différent.

XiliX [18.08.2012 - 23:50]

Tu n'as donc pas compris l'article...

josselinrsa [19.08.2012 - 12:28] via MacG Mobile

@hadrien.eu :
+1

Utiliser les mêmes identifiants que les forums