Korben, roi d’internet, logo bébé avec des lunettes en mode thug life Korben, roi d’internet, logo bébé avec des lunettes en mode thug life

Korben Upgrade your mind

Une faille dans iOS qui permet de spoofer des SMS [+tool]

@  — 

Un chercheur en sécurité vient de découvrir au sein d’iOS (toutes versions confondues, même la beta 4 de iOS 6), une faille qui permet d’envoyer des SMS en se faisant passer pour quelqu’un d’autre.

En effet, lorsque vous tapez un SMS, votre message est converti en PDU (Protocol Description Unit) par votre téléphone et envoyé vers votre opérateur. Ce protocole permet aussi bien l’envoi de SMS texte classique, que l’envoi de MMS, de Flash SMS…etc.

Avec une petite application conçue pour ça, ou un modem ou un accès à une passerelle SMS, il est possible d’envoyer un SMS forgé spécialement pour l’occasion directement en DPU. Dans ce message forgé, une section optionnelle baptisée UDH (User Data Header) permet entre autres de spécifier un numéro de réponse qui est différente de l’adresse d’envoi. (reply-to… même principe que pour les emails)

La faille en question dans iOS se situe à ce niveau. L’iPhone affiche en numéro d’expéditeur, directement ce numéro de réponse. Du coup, n’importe quelle personne mal intentionnée peut, en utilisant ce champ de « réponse à » et en envoyant le message forgé à un iPhone, se faire passer pour quelqu’un d’autre… Par exemple une banque, ou un service en ligne comme Google…etc.

Malin, efficace et surtout possible dès à présent puisque le chercheur qui a découvert ce problème a développé une application baptisée sendrawpdu qu’il a mis en ligne sur son site.

À essayer avec intelligence et modération en prévenant bien sûr le destinataire des SMS forgés.

Edit : Apple a répondu ceci…

Apple takes security very seriously. When using iMessage instead of SMS, addresses are verified which protects against these kinds of spoofing attacks. One of the limitations of SMS is that it allows messages to be sent with spoofed addresses to any phone, so we urge customers to be extremely careful if they’re directed to an unknown website or address over SMS.

Grosso modo, cela veut dire qu’ils ne feront rien, que les gens n’ont qu’à utiliser iMessage qui n’a pas ce bug et qu’on doit rester vigilant quand on reçoit des SMS qui nous invitent à nous rendre sur un site internet inconnu. Ah ok, d’accord…

Source

Installer le shell Bash (Linux) sous Windows 10

L’année dernière, ça ne vous a pas échappé, Bash a fait son apparition sous Windows 10. C’est pour moi, la meilleure chose qui soit arrivée à Windows depuis un moment, car ça permet de lancer des outils Linux et de développer ses propres scripts Shell directement sous Windows. Le pied !

Mais même si c’est parfaitement fonctionnel, il faut quand même…

Lire la suite

Plus de 60 idées pour votre Raspberry Pi

Nous sommes nombreux à nous être procuré un petit ordinateur Raspberry Pi pour nous lancer dans des projets de ouf malade… C’est très cool, mais à part le classique Media Center XBMC, qu’avez-vous fait avec votre Raspberry Pi ?

Si vous séchez niveau idées, voici une petite sélection…

Lire la suite

Une astuce pour rendre Windows 10 plus rapide

Si vous trouvez que Windows 10 est un peu lent, que vos applications ne se lancent pas très vite, que vos compilations prennent du temps, voici une petite astuce débusquée par Brominou pour accélérer le bouzin.

Cliquez dans la zone de recherche de la barre Windows et tapez le mot clé « Performances ». Puis cliquez sur « Régler l’apparence et les performances de Windows » …

Lire la suite

Changer d’adresse IP rapidement

Une petite astuce pour ceux qui ne connaissent pas. Comment changer d’adresse IP à la volée.
Il suffit d’en demander une nouvelle à son provider si celui-ci accepte les IP dynamiques. Pour vérifier que vos manipulation ont eu l’effet escompté, vérifiez quelle est votre adresse IP….

Lire la suite

Les articles du moment

Glide – Pour générer des applications mobiles à partir d’un tableur
VirusTotal en ASCII
Article 13 et réforme du droit d’auteur
Habitations martiennes
Les liens de la semaine #12
Tsunami financier, désastre humanitaire ?