Un chercheur en sécurité vient de découvrir au sein d’iOS (toutes versions confondues, même la beta 4 de iOS 6), une faille qui permet d’envoyer des SMS en se faisant passer pour quelqu’un d’autre.
En effet, lorsque vous tapez un SMS, votre message est converti en PDU (Protocol Description Unit) par votre téléphone et envoyé vers votre opérateur. Ce protocole permet aussi bien l’envoi de SMS texte classique, que l’envoi de MMS, de Flash SMS…etc.
Avec une petite application conçue pour ça, ou un modem ou un accès à une passerelle SMS, il est possible d’envoyer un SMS forgé spécialement pour l’occasion directement en DPU. Dans ce message forgé, une section optionnelle baptisée UDH (User Data Header) permet entre autres de spécifier un numéro de réponse qui est différente de l’adresse d’envoi. (reply-to… même principe que pour les emails)
La faille en question dans iOS se situe à ce niveau. L’iPhone affiche en numéro d’expéditeur, directement ce numéro de réponse. Du coup, n’importe quelle personne mal intentionnée peut, en utilisant ce champ de « réponse à » et en envoyant le message forgé à un iPhone, se faire passer pour quelqu’un d’autre… Par exemple une banque, ou un service en ligne comme Google…etc.
Malin, efficace et surtout possible dès à présent puisque le chercheur qui a découvert ce problème a développé une application baptisée sendrawpdu qu’il a mis en ligne sur son site.
À essayer avec intelligence et modération en prévenant bien sûr le destinataire des SMS forgés.
Edit : Apple a répondu ceci…
Apple takes security very seriously. When using iMessage instead of SMS, addresses are verified which protects against these kinds of spoofing attacks. One of the limitations of SMS is that it allows messages to be sent with spoofed addresses to any phone, so we urge customers to be extremely careful if they’re directed to an unknown website or address over SMS.
Grosso modo, cela veut dire qu’ils ne feront rien, que les gens n’ont qu’à utiliser iMessage qui n’a pas ce bug et qu’on doit rester vigilant quand on reçoit des SMS qui nous invitent à nous rendre sur un site internet inconnu. Ah ok, d’accord…
Télécharger gratuitement des vidéos et playlists YouTube, Vimeo ou Facebook
il est temps de ressortir son balladeur mp3
Grâce au freeware 4K Video Downloader vous allez pouvoir télécharger très facilement toutes vos vidéos préférées sur YouTube, Facebook, Vimeo, Dailymotion, Twitch & co, et en haute qualité (HD, 4K et 8K en résolution 1080p ou 720p).
Il prend aussi en charge les sous-titres ou encore les chaines et les playlists. Il est donc possible de télécharger une série de vidéos d’un seul coup, sans devoir les ajouter une à une. Il suffit de copier-coller un lien, plutôt pratique non ? Vous pouvez même choisir le format final des fichiers (MP4, MKV, M4A, MP3, FLV ou 3GP).
Vous pouvez même vous abonnez aux chaînes YouTube à partir de l’application pour avoir des vidéos les plus récentes téléchargées automatiquement.