Faille SMS : une exclusivité iOS

Christophe Laporte |

Concernant la faille relative à l'implémentation des SMS dans iOS, Apple ne veut rien entendre. Il y a quelques jours, son seul conseil aux utilisateurs était de considérer iMessage, lequel est selon elle plus sûr que les SMS traditionnels (lire : SMS : Apple recommande la prudence).

Rappelons le coeur de l'affaire : à la mi-août, pod2g déclarait avoir trouvé une faille relative aux SMS dans iOS. Concrètement, Apple ne prévient pas l'utilisateur lorsque dans un SMS le numéro de l'émetteur et le numéro sur lequel vous êtes invités à répondre divergent. L’iPhone affiche uniquement le numéro de téléphone auquel vous pouvez répondre. Ce qui a pour conséquence qu'un petit malin peut très facilement envoyer un SMS en se faisant passer pour quelqu'un d'autre…

Selon le consultant en sécurité, Cathal McDaid, Apple fait cavalier seul dans ce domaine. Sa société AdaptiveMobile a testé bon nombre de terminaux Android, Windows Mobile, BlackBerry et Symbian. Soit les terminaux affichent les deux informations soit ils affichent le numéro de téléphone de l'expéditeur.

Apple a sans doute raison lorsqu'elle affirme que le système des SMS est loin d'être infaillible, mais elle devrait néanmoins tout mettre en oeuvre pour que ses utilisateurs ne soient pas facilement trompés.

[Source et crédit image : News]

Tags
#sécurité #faille SMS
avatar jarno24 | 
"iMessage est plus sûr"... Ah bon, je peux rayer tous mes contacts qui ne sont pas chez Apple alors N
avatar tef45 | 
Non mais c'est sans doute dû à la position de nos doigts, visiblement, on tiens mal l'iPhone, alors la partie sms nous joue des tours.
avatar Nathansatva | 
@jdCaptcha : Entièrement d'accord ! Je trouve bien plus problématique de ne pas voir le numéro auquel je réponds ! Surtout avec les risques de sur facturation.
avatar Amine49 | 
c'est idiot ce que tu dis, le but est précisément de répondre à l'expéditeur du message. impossible de se faire passer pour un autre dans ce cas
avatar SeanC | 
Après Flash, Apple va décréter que SMS est un sac de nœuds obsolète.
avatar xservolle | 
Avec Apple l'enfer c'est les autres... Et s'ils comparaient simplement les deux numéros, s'ils sont identiques iOS traite le message comme précédemment, s'ils sont différents iOS affiche les deux numéros... Pas assez compliqué comme solution certainement... a moins que ça ne favorise pas suffisament les produits maison comme iMessage(tm) the best messaging application of the worldheu...
avatar boccob | 
Le pire c'est qu'avec le petit soft de sendrawpdu, c'est super facile à faire. Y a même pas besoin d'être un bidouilleur de folie. Je ne comprend pas qu'Apple ne corrige pas ça plus vite ...
avatar iguan | 
En effet, c'est pas mieux de n'afficher que le numéro de l'expéditeur sans afficher le numéro de réponse. Imaginons, l'expéditeur envoit avec un numéro tout à fait classique en 06 ou 07 avec un message suffisamment intéressant pour inciter le destinataire à répondre et utilisé un numéro de SMS+ comme numéro de réponse (donc surtaxé et hors forfait). Innocemment le destinataire répond ne voyant que le numéro de l'expéditeur qui lui est classique et donc non surtaxé, et paf il s'est fait avoir il se retrouve avec un SMS facturé hors forfait. Dans l'autre cas, celui de l'iPhone, c'est à dire lorsque seul le numéro de réponse est affiché, cela ouvre la possibilité à des blagues avec des consequences potentiellement graves, genre un SMS avec comme numéro de réponse le numéro du chef ou patron du destinataire contenant "tu es viré!" ou l'inverse, un message plein d'insulte à destination du patron en utilisant le numéro de l'employé. Cela dit il faut avant tout s'assurer que le patron ait un iPhone et donc ait le bug, sinon il va vite repérer le vrai expéditeur... Bref, dans les deux cas c'est problématique, et donc les seuls qui ont la bonne implémentation sont ceux qui affichent les deux. En espérant que cela soit quand même la majorité, mais franchement j'ai bien peur que cela soit la minorité
avatar Apple92 | 
Je ne comprends pas où est la faille non plus... Effectivement, si le numéro de l'expéditeur et de réponse sont différents, l'idéal serait d'afficher les 2. Si un seul est affiché, comme ça me semble être la plupart du temps le cas, alors c'est logique de montrer le numéro à qui on va répondre. C'est bien plus grave de na pas savoir à qui on répond. Si on sait à qui on répond, le risque est juste nul. Quel interêt pour un "petit malin" d'envoyer un SMS à quelqu'un du genre "donne moi ton numéro de carte de crédit LOL" si la réponse que l'on va envoyer est à un numéro que l'on peut voir? Bref, soit quelque chose n'est pas clair dans l'article, soit Apple à l'inverse d'être le seul dans l'erreur, et le seul dans le bon.
avatar terreaterre | 
@Giru : donnes moi ton téléphone et celui de ton patron et tu verras peut être le problème.
avatar Linoups | 
Je n arrive pas a modifer mon post avec l appli mobile Mais ma reponse ne va pas à hirtrey
avatar Apple92 | 
Oui ça ne peut servir qu'à faire des blagues. Ce n'est pas une menace. C'est juste de la connerie.
avatar Linoups | 
Comment voulez vous répondre a un numéro surtaxe ? Vous voyez le numero auquel vous répondez Vous recevrez un sms d un tiers se faisant passer pour un ami mais vous répondrez a votre ami et non au tiers Le seul problème ici c est le contenu qui peut provoquez des conflits entre amis.
avatar Linoups | 
Tu ne fais qu affirmer ce que je dis
avatar florian2010 | 
Il serait temps qu'Apple mette un terme à cette faille !
avatar BeePotato | 
C'est clairement une faille mais n'afficher que l'expéditeur c'est pas mieux. Si le numéro de réponse est surtaxé, c'est la porte ouverte aux pièges du type : "salut, je me suis fait voler mon portable, voilà mon nouveau numéro". Comme il est logique de ne pas avoir le numéro dans son répertoire, on peut facilement se faire avoir en répondant "c'est qui ?". Sauf si quand on repond on voit le numéro qui va recevoir la réponse mais si on ne fait pas trop attention...
avatar kiabesta | 
Pour avoir testé, il semblerait vraiment que seul iOS soit victime de ce soucis. J'ai vérifié avec Android et divers vieux autres téléphones, ils mettent tous le bon numéro. Le vrai soucis c'est qu'ici iMessage ne règle en rien le problème. Quand on reçoit un message, que ce soit un SMS ou un iMessage, la bulle est toujours blanche et il n'y a pas moyen de le distinguer. Donc même si madame michu et monsieur dupont parle toujours par iMessage, si j'envois un SMS de la part de monsieur dupont à madame michu, il ne verra pas la différence. J'espère qu'Apple va régler ce soucis dans iOS 6. Au moins mettre un panneau attention à coté d'un message lorsque les deux numéros de téléphone sont différents
avatar Linoups | 
Chez moi les sms sont verts et les imessages bleues. Et les imessage envoyés par un compte email dont distingues de ceux envoyés par un compte tel
avatar kiabesta | 
Les messages envoyés sont bleus. Pas les messages reçus, ils sont tous blancs. Dommage, c'est sur eux qu'on cherche à faire la différence. Peu de gens utilisent iMessage avec les mails. En général c'est les numéros qui sont utilisés
avatar Linoups | 
@qparis : 'Les messages envoyés sont bleus. Pas les messages reçus, ils sont tous blancs. Dommage, c'est sur eux qu'on cherche à faire la différence.' En fait tu as raison pour la couleur. j ai par contre une séparation pour les sms et une séparation pour les imessages donc ils sont bien distinguables.
avatar Linoups | 
@qparis : 'Peu de gens utilisent iMessage avec les mails. En général c'est les numéros qui sont utilisés' Pas avec l arrive de l ipad3 et de osx ml :-)
avatar kiabesta | 
En réalité, y'a un moyen de faire la différence, mais c'est pas évident et tout le monde ne va pas y prêter attention je pense
avatar kiabesta | 
T'es sympa, je crois que j'ai environ tout les produits Apple, donc je ne suis pas un "hater". Relis mon message, tu vas comprendre que iMessage ne règle pas du tout le problème @marsu94000: Je suis d'accord pour la barre, mais faut vraiment faire attention, je pense pas que les gens y fassent gaffe
avatar Abudah237 | 
Il y a embrouille, le consultant cite un paragraphe de la nome (non normatif), mais ce paragraphe n'existe pas dans la dernière version du standard (2008), et de plus le chapitre associé existe bien mais traite spécifiquement du protocole EMS (un intermédiaire entre les SMS et les MMS, avec des mécanismes spécifiques). Je pense que certains font quelques tours de passe passe pour nous raconter n'importe quoi.
avatar Abudah237 | 
Comme d'habitude, un moyen pour la société de consultants de se faire connaître à moindre frais, même en racontant n'importe quoi. Comme personne ne va chercher à aller à la source de l'information, ils ne risquent rien.
avatar Pitchounot | 
De toute façon Apple et les SMS, ça a toujours fait deux ... Rien que par l'absence des accusés de réception dans un simple SMS. Vous me direz que certes c'est présent avec iMessage, mais à ce que je sache beaucoup de personne n'ont pas "encore" de terminal IOS!

CONNEXION UTILISATEUR