SMS : Apple recommande la prudence

Florian Innocente |

Apple a répondu par une déclaration à Engadget à propos de la faille relative aux SMS sur iOS. Ou plutôt qu'une faille, sur la manière qu'a iOS de ne pas afficher toutes les informations sur l'origine exacte d'un SMS.

Sa réponse laisse à penser qu'elle n'entend pas y apporter de modification, même sur l'interface d'affichage des messages. Elle présente les choses comme une lacune inhérente aux SMS :

Apple prend les questions de sécurité très au sérieux. Lors de l'utilisation d'iMessage au lieu des SMS, les adresses sont vérifiées et cela protège contre ce genre d'attaques par usurpation d'identité. Une des limites des SMS est qu'ils permettent d'envoyer des messages avec des adresses usurpées à n'importe quel téléphone, c'est pourquoi nous insistons auprès de nos clients pour qu'ils soient extrêmement prudents s'ils sont dirigés vers un site ou une adresse inconnus via un SMS.

Comme l'expliquait pod2g sur son blog, l'envoi de ces messages est dicté par un protocole standard. Parmi ses possibilités, il offre à l'émetteur celle de transmettre deux numéros de téléphone distincts : le premier étant le numéro d'envoi et le second le numéro sur lequel vous êtes invité à répondre. Seulement, poursuit pod2g, Apple a choisi de ne pas afficher ces deux informations, mais seulement le second, empêchant de s’enquérir de l’identité réelle de l’émetteur (lire aussi iOS : une faille dans les SMS).

Tags
#sécurité #faille SMS #faille
avatar iCaramba | 
@redchou : comment fait on?
avatar jarno24 | 
Apple est trop léger là-dessus...
avatar KillerX | 
@Steeve J. : tu pourrais apporter plus de précisions pour les SMS ? C'est la 1ère fois dont j'entends parler d'un tel tweak; quel est son nom ?
avatar titistardust | 
@anti2703 : 'À mon avis, bientôt un tweak sur cydia et c'est réglé :)' Je serai curieux de voir la solution apportée par un tel tweak.
avatar titistardust | 
@Adricol0 : '@domsou : L'affichage des deux numéros en cas de différence entre le premier et le second. En 15 lignes de code c'est réglé.' Ah ! Bien sûr ! Pourquoi les développeurs de chez Apple n'y ont pas pensé... C'est le grand classique du développement informatique : « il n'y a qu'à faire comme cela ». C'est tellement simple l'informatique ainsi.
avatar titistardust | 
@jdCaptcha : Ce bout de code correspond à quelle réponse apportée au problème ? Vous confondez la fonctionnalité et sa réalisation en négligeant quasiment tout le processus de développement logiciel. Le code n'est qu'une toute petite partie du développement logiciel. Mais pour illustrer mon propos, que faites beaucoup de votre magnifique code maintenant ? Comment il s'insère dans l'existant ? À quel numéro doit répondre l'utilisateur ? ...
avatar titistardust | 
@domsou : pardon, que faites vous...
avatar PtitRital67 | 
@jdCaptcha : je veux bien te défendre sur un point de l'utilité de ton code ça sert juste à démonter que le php c'est de la merde. Dans un vrai langage ce que tu as écrit peut s'écrire en une ligne (ou alors c'est peut être faisable aussi en php mais j'en doute)
avatar Oh la belle Pomme | 
Pas la peine de l'écrire en C sur une seule ligne* pour comprendre ce qu'il veut dire. MDR ! *il me semble qu'un if/else reste plus rapide à l'exécution (en PHP du moins) que l'opérateur ternaire : (expr1) ? expr2 : expr3. Et n'en doute plus, c'est faisable en PHP aussi. Non seulement ce qu'il dit est pertinent mais surtout, avant de vous foutre de lui comme vous le faites, apprenez a vous documenter vous aurez l'air un peu moins cons à essayer de le casser. Et entre nous soit dit, ce format est plus compréhensible pour les non codeurs lisant son commentaire.
avatar Yoan92 | 
Je crois qu'il s'agit de failles du GSM en général. Il est très facile de changer son numéro d'appelant avec certains services peu scrupuleux qu'on trouve (facilement) sur internet...
avatar titistardust | 
Il me semble avoir reçu ce genre de SMS bidons. Il suffit de ne pas y répondre, c'est comme les mails de phishing.
avatar Billytyper2 | 
Comme je disais sur l'autre fil... Je ne veux pas que Apple affiche les deux numéros. Mes collègues doivent souvent appeler nos clients depuis leur portable. Mais nos clients ne doivent pas les appeler directement sur leur portable. Ils doivent passer par notre central d'appel. Et c'est bien le numéro de notre central d'appel qui s'affiche au lieu le numéro de leur portable. Puisque cette fonctionnalité est prévue dans le protocole standard, ce n'est donc pas une faille. Apple a du faire un choix et ils ont choisi. Personnellement j'approuve totalement car elle correspond à notre fonctionnement.
avatar Billytyper2 | 
J'ajouterais donc... si on ne veut pas que le numéro "d'alias" puisse être utilisé par une personne quelconque, il faudra que les instances responsables modifient le protocole. Par exemple, une authentification pour pouvoir utiliser le numéro d'alias et laisser le fonctionnement actuel.
avatar Billytyper2 | 
Tu n'as donc pas compris l'article...
avatar calotype | 
@hadrien.eu : +1
avatar SRC | 
"C'est la même chose (et même encore pire) pour les mails alors que personne ne critique face aux milliards de spams …" (Tomn) Vous m'avez ôté le pain de la bouche! Je ne compte plus les spams de m**** que j'ai reçus et qui ont été envoyés... par moi!
avatar Oh la belle Pomme | 
Traduction : "Utilisez iMessage et non les SMS" Ca tient en une phrase (pas la peine de broder, Apple). Au moins là c'est clair, net et précis. (SJ me manque des fois)
avatar Oh la belle Pomme | 
Yep.
avatar eipem | 
Ouais en fait c'est pareil sur tous les téléphones depuis toujours et c'est utilisé par les opérateurs par exemple qui envoient des SMS de promotion pour leurs services et ce genre de choses. C'est pas nouveau. Ça le fait toujours plus de dire "j'ai trouvé une faille dans iOS sur les SMS" que de dire "le système du SMS est pas très sûr parce qu'un expéditeur peut masquer son identité". C'est plus vendeur.
avatar Abudah237 | 
@joneskind : oui, je n'ai jamais vu deux numéros affichés pour des SMS reçus sur aucun de les téléphones
avatar xtyou | 
C'est une façon de démarcher de nouveaux clients iphone. Je vais m'empresser de dire à toutes mes connaissances d'acheter un Iphone pour leur envoyer des imessages, car les sms c'est pourri. -_- Ils sont de plus en plus lourd chez la pomme. C'était déjà le cas avant même qu'ils n'arrivent sur le marché de la téléphonie… Il faut arrêter le délire. Les compagnies comme Jamba et leur service de kikoolol utilisent ce genre de sms.
avatar Homer Simpson | 
Si on répond juste STOP à un SMS indésirable, on ne reçoit plus de SMS du même expéditeur. L'opérateur les bloque ; tout du moins Orange. Merci de confirmer pour les autres, je ne sais pas si c'est général.
avatar -oldmac- | 
C'est exactement le principe qui est utilisé par tous les opérateurs pour envoyer des SMS à partir de leur page Web, en général dans le compte utilisateur. C'est le même principe qui est utilisé par Skype pour pour envoyer des SMS. D'ailleurs on peut choisir le numéro que l'on désire voir s'afficher. J'ai un numéro Skype en 09 et mon mobile à l'étranger en +961 est enregistré pour être officiellement l'expéditeur des messages. Alors, est un bug, une faille ou une fonction éventuellement détournée ?
avatar Dewy | 
@marc_os Il faut renvoyer le sms indesirable a un numero (3737 je crois) qui bloquera ensuite l'arrivée de futurs spams du meme expediteur Ne jamais repondre directement sur le numero du spam, ca ne fais que confirmer qu'il a trouver un numero valide
avatar Homer Simpson | 
- L'astuce de répondre STOP m'a été donnée par Orange (de toute façon si j'envoie un SMS, il passe par leurs serveurs). - Comment fais-tu pour "renvoyer" un SMS à un quelconque numéro de telle sorte que le numéro de l'expéditeur original soit contenu dans le nouveau SMS comme quand on transfère un mail par exemple ? Je n'ai jamais vu de fonction "transfert de SMS" ni sur mes anciens Nokia, ni sur mon iPhone. (Si j'ai besoin de transférer un SMS, je fais du copier/coller).
avatar Feusange | 
Précision sur la réponse STOP à renvoyer au numéro expéditeur : ça ne fonctionne que pour les numéros d'envoi à 5 chiffres : http://www.33700-spam-sms.fr/que-faire-en-cas-de-spam-par-sms.html#
avatar Feusange | 
Sinon en cas de spam provenant d'un numéro à 10 chiffres, il faut effectivement copier-coller le contenu intégral du sms, à l'identique, et l'envoyer au 33700 (service mis en place conjointement par le gouvernement les opérateurs français).
avatar calotype | 
En même temps j'ai pas attendu iOS pour ne pas voir s'afficher cette distinction sur mes features-phones ante-iPhone !
avatar Marksanders | 
Il ne serait pas difficile d'indiquer par un i d'info que le numéro est un numéro de renvoi mais comme ça à été dit plus haut, ça casse tout l'intérêt de cette fonctionnalité si le destinataire le sait.
avatar Oh la belle Pomme | 
@hadrien.eu : "Non mais faut arrêter de croire que le code de iOS est fait par 3 stagiaires qui pompent un bout de code sur le siteduzero comme vous faites en php" Non, personne (à part toi) ne dit ça. Non, pour ma part ni stagiaire, ni pompeur. "Même s'il ne s'agissait que d'afficher un (i) comme proposé plus haut, ça demande bien plus de code que ça" Et ? Ils n'en sont pas capables chez apple ? "lisez un bouquin d'objective C et passez à autre chose que PHP." C'est fait, pour la lecture. Pour le PHP il m'est bien utile. Aucun intérêt pour moi de passer par des CGI. A chaque langages ses intérêts et ses domaines. Il n'y a pas que l'Objective dans la vie. La prochaine fois, on proposera des organigrammes, il y aura moins de problème. Mais si notre ami a sorti du PHP c'est peut être qu'il connait le langage et que c'était pour lui le meilleur moyen d'illustrer sa pensé.
avatar Abudah237 | 
@bugman : oui enfin son code était juste là pour se la péter, ce qui dit en passant, est raté sachant que son code n'apportait rien au débat. Il n'est par ailleurs pas venu à l'idée de tous nos beaux esprits que le problème venait peut être du protocole SMS lui même. J'ai beau chercher sur le net, je ne trouve aucune API qui fournit les deux informations, il n'y a toujours que le sender, c'est tout. C'est sans doute lié au fait qu'il y a autant de protocoles SMS propriétaires que d'opérateurs, ce qui fait que les messages passent par des gateways qui peuvent perdre une partie du contenu en passant d'un protocole à l'autre. Alors plutôt que d'avoir un truc qui marche une fois sur trois, Apple a sans doute préféré ne rien mettre. Mais bon c'est plus cool de taper sur Apple sans savoir, ça ne l'ange pas de pain.
avatar Oh la belle Pomme | 
"l'envoi de ces messages est dicté par un protocole standard. Parmi ses possibilités, il offre à l'émetteur celle de transmettre deux numéros de téléphone distincts : le premier étant le numéro d'envoi et le second le numéro sur lequel vous êtes invité à répondre. Seulement, poursuit pod2g, Apple a choisi de ne pas afficher ces deux informations, mais seulement le second" Je ne fais que lire l'article. A première vue les deux numéros sont bien transmis. De là on peut valider l'exemple de code donné (si les deux variables sont présentes on peut vérifier si elles sont différentes). Apres, est ce que c'est une fonction plutôt qu'un bug ou un "oubli"... je ne sais pas, dans ce cas je ne vois pas pourquoi "Apple recommande la prudence". Enfin, pour moi, il est clair qu'Apple préfère que l'on utilise son service maison (iMessage).
avatar Oh la belle Pomme | 
C'est surtout les grosses conneries du genre que tu débites qui m'attirent. En gros, t'es mon clown du moment. :o)

CONNEXION UTILISATEUR