iPhone
SMS : Apple recommande la prudence
Apple a répondu par une déclaration à Engadget à propos de la faille relative aux SMS sur iOS. Ou plutôt qu'une faille, sur la manière qu'a iOS de ne pas afficher toutes les informations sur l'origine exacte d'un SMS.
Sa réponse laisse à penser qu'elle n'entend pas y apporter de modification, même sur l'interface d'affichage des messages. Elle présente les choses comme une lacune inhérente aux SMS :
Apple prend les questions de sécurité très au sérieux. Lors de l'utilisation d'iMessage au lieu des SMS, les adresses sont vérifiées et cela protège contre ce genre d'attaques par usurpation d'identité. Une des limites des SMS est qu'ils permettent d'envoyer des messages avec des adresses usurpées à n'importe quel téléphone, c'est pourquoi nous insistons auprès de nos clients pour qu'ils soient extrêmement prudents s'ils sont dirigés vers un site ou une adresse inconnus via un SMS.
Comme l'expliquait pod2g sur son blog, l'envoi de ces messages est dicté par un protocole standard. Parmi ses possibilités, il offre à l'émetteur celle de transmettre deux numéros de téléphone distincts : le premier étant le numéro d'envoi et le second le numéro sur lequel vous êtes invité à répondre. Seulement, poursuit pod2g, Apple a choisi de ne pas afficher ces deux informations, mais seulement le second, empêchant de s’enquérir de l’identité réelle de l’émetteur (lire aussi iOS : une faille dans les SMS).
Vos réactions
C'est con, c'est super simple d'afficher les d'ex numéros dans le cas ou ils sont différents...
@redchou :
comment fait on?
@redchou :
+1
Apple n'aurait pas grd chose à faire ... Mais quiconque oserait désirer une chose qu'Apple ne veut pas est un hérétique, semblerait-il ^^ enfin bon :)
C'pas encore trop grave comme faille...
@Funigtor
Oui mais ça se corrige !
Apple est trop léger là-dessus...
À mon avis, bientôt un tweak sur cydia et c'est réglé :)
@anti2703 :
Ça fait d'ailleurs longtemps qu'il y a des apps Cydia qui permettent d'envoyer des SMS en ce fesant passer pour un autre numéro et la même chose pour les mails !
@Steeve J. :
tu pourrais apporter plus de précisions pour les SMS ? C'est la 1ère fois dont j'entends parler d'un tel tweak; quel est son nom ?
@anti2703 :
'À mon avis, bientôt un tweak sur cydia et c'est réglé :)'
Je serai curieux de voir la solution apportée par un tel tweak.
@domsou :
L'affichage des deux numéros en cas de différence entre le premier et le second. En 15 lignes de code c'est réglé.
@Adricol0 :
'@domsou :
L'affichage des deux numéros en cas de différence entre le premier et le second. En 15 lignes de code c'est réglé.'
Ah ! Bien sûr ! Pourquoi les développeurs de chez Apple n'y ont pas pensé...
C'est le grand classique du développement informatique : « il n'y a qu'à faire comme cela ». C'est tellement simple l'informatique ainsi.
'@Adricol0 :
'@domsou :
L'affichage des deux numéros en cas de différence entre le premier et le second. En 15 lignes de code c'est réglé.'
Ah ! Bien sûr ! Pourquoi les développeurs de chez Apple n'y ont pas pensé...'
Justement on se le demande :
echo 'From: ' . $t_from;
if ( $t_from != $t_reply_to ) {
echo 'Reply to: ' . $t_reply_to;
}
Ecrit en 4 lignes en PHP, il n'y a plus qu'à convertir dans le language qui va bien...
@jdCaptcha :
Ce bout de code correspond à quelle réponse apportée au problème ?
Vous confondez la fonctionnalité et sa réalisation en négligeant quasiment tout le processus de développement logiciel.
Le code n'est qu'une toute petite partie du développement logiciel.
Mais pour illustrer mon propos, que faites beaucoup de votre magnifique code maintenant ?
Comment il s'insère dans l'existant ?
À quel numéro doit répondre l'utilisateur ?
...
@domsou :
pardon, que faites vous...
Au niveau de l'affichage du From comme c'est indiqué dans mon code... La "faille" ici ne concerne que l'affichage, rien d'autre.
@jdCaptcha :
'Justement on se le demande :
echo 'From: ' . $t_from;
if ( $t_from != $t_reply_to ) {
echo 'Reply to: ' . $t_reply_to;
}
Ecrit en 4 lignes en PHP, il n'y a plus qu'à convertir dans le language qui va bien...'
MDR !
Allez, retourne faire du php :)
@jdCaptcha :
je veux bien te défendre sur un point de l'utilité de ton code ça sert juste à démonter que le php c'est de la merde. Dans un vrai langage ce que tu as écrit peut s'écrire en une ligne (ou alors c'est peut être faisable aussi en php mais j'en doute)
@bugman :
'Non seulement ce qu'il dit est pertinent mais surtout, avant de vous foutre de lui comme vous le faites, apprenez a vous documenter vous aurez l'air un peu moins cons à essayer de le casser. Et entre nous soit dit, ce format est plus compréhensible pour les non codeurs lisant son commentaire.'
+1
Je crois qu'il s'agit de failles du GSM en général. Il est très facile de changer son numéro d'appelant avec certains services peu scrupuleux qu'on trouve (facilement) sur internet...
C'est la même chose (et même encore pire) pour les mails alors que personne ne critique face aux milliards de spams …
Vous voulez que cette information s'affiche où précisément ? Histoire de ne pas encombrer l'UI et d'être vraiment utile aux utilisateurs (car je crois que même en l'affichant ça ne changerait rien).
Il y a toujours des libertés qui se confondent avec des failles en informatique, surtout niveau anonymat.
@Tomn :
+1... Encore une tempête dans un vers d'eau (en tous cas pour les Apple haters :)
'C'est la même chose (et même encore pire) pour les mails alors que personne ne critique face aux milliards de spams …'
Bah c'est comme pour le courrier classique. Sur l’enveloppe, en plus de l'adresse de destination, chacun mets ce qu'il veut comme adresse d'expéditeur.
Il me semble avoir reçu ce genre de SMS bidons. Il suffit de ne pas y répondre, c'est comme les mails de phishing.
Comme je disais sur l'autre fil...
Je ne veux pas que Apple affiche les deux numéros. Mes collègues doivent souvent appeler nos clients depuis leur portable. Mais nos clients ne doivent pas les appeler directement sur leur portable. Ils doivent passer par notre central d'appel. Et c'est bien le numéro de notre central d'appel qui s'affiche au lieu le numéro de leur portable.
Puisque cette fonctionnalité est prévue dans le protocole standard, ce n'est donc pas une faille. Apple a du faire un choix et ils ont choisi. Personnellement j'approuve totalement car elle correspond à notre fonctionnement.
J'ajouterais donc... si on ne veut pas que le numéro "d'alias" puisse être utilisé par une personne quelconque, il faudra que les instances responsables modifient le protocole.
Par exemple, une authentification pour pouvoir utiliser le numéro d'alias et laisser le fonctionnement actuel.
Oui enfin ça ne marche que si vos clients ont des iPhone...
Ce qui me fait doucement rigoler, c'est que je n'ai jamais vu le moindre téléphone offrir la possibilité de voir ces informations. Mais bon, la c'est Apple alors c'est différent.
Tu n'as donc pas compris l'article...
@hadrien.eu :
+1