Un chercheur en sécurité vient de découvrir au sein d’iOS (toutes versions confondues, même la beta 4 de iOS 6), une faille qui permet d’envoyer des SMS en se faisant passer pour quelqu’un d’autre.
En effet, lorsque vous tapez un SMS, votre message est converti en PDU (Protocol Description Unit) par votre téléphone et envoyé vers votre opérateur. Ce protocole permet aussi bien l’envoi de SMS texte classique, que l’envoi de MMS, de Flash SMS…etc.
Avec une petite application conçue pour ça, ou un modem ou un accès à une passerelle SMS, il est possible d’envoyer un SMS forgé spécialement pour l’occasion directement en DPU. Dans ce message forgé, une section optionnelle baptisée UDH (User Data Header) permet entre autres de spécifier un numéro de réponse qui est différente de l’adresse d’envoi. (reply-to… même principe que pour les emails)
La faille en question dans iOS se situe à ce niveau. L’iPhone affiche en numéro d’expéditeur, directement ce numéro de réponse. Du coup, n’importe quelle personne mal intentionnée peut, en utilisant ce champ de « réponse à » et en envoyant le message forgé à un iPhone, se faire passer pour quelqu’un d’autre… Par exemple une banque, ou un service en ligne comme Google…etc.
Malin, efficace et surtout possible dès à présent puisque le chercheur qui a découvert ce problème a développé une application baptisée sendrawpdu qu’il a mis en ligne sur son site.
À essayer avec intelligence et modération en prévenant bien sûr le destinataire des SMS forgés.
Edit : Apple a répondu ceci…
Apple takes security very seriously. When using iMessage instead of SMS, addresses are verified which protects against these kinds of spoofing attacks. One of the limitations of SMS is that it allows messages to be sent with spoofed addresses to any phone, so we urge customers to be extremely careful if they’re directed to an unknown website or address over SMS.
Grosso modo, cela veut dire qu’ils ne feront rien, que les gens n’ont qu’à utiliser iMessage qui n’a pas ce bug et qu’on doit rester vigilant quand on reçoit des SMS qui nous invitent à nous rendre sur un site internet inconnu. Ah ok, d’accord…