Un chercheur en sécurité vient de découvrir au sein d’iOS (toutes versions confondues, même la beta 4 de iOS 6), une faille qui permet d’envoyer des SMS en se faisant passer pour quelqu’un d’autre.
En effet, lorsque vous tapez un SMS, votre message est converti en PDU (Protocol Description Unit) par votre téléphone et envoyé vers votre opérateur. Ce protocole permet aussi bien l’envoi de SMS texte classique, que l’envoi de MMS, de Flash SMS…etc.
Avec une petite application conçue pour ça, ou un modem ou un accès à une passerelle SMS, il est possible d’envoyer un SMS forgé spécialement pour l’occasion directement en DPU. Dans ce message forgé, une section optionnelle baptisée UDH (User Data Header) permet entre autres de spécifier un numéro de réponse qui est différente de l’adresse d’envoi. (reply-to… même principe que pour les emails)
La faille en question dans iOS se situe à ce niveau. L’iPhone affiche en numéro d’expéditeur, directement ce numéro de réponse. Du coup, n’importe quelle personne mal intentionnée peut, en utilisant ce champ de « réponse à » et en envoyant le message forgé à un iPhone, se faire passer pour quelqu’un d’autre… Par exemple une banque, ou un service en ligne comme Google…etc.
Malin, efficace et surtout possible dès à présent puisque le chercheur qui a découvert ce problème a développé une application baptisée sendrawpdu qu’il a mis en ligne sur son site.
À essayer avec intelligence et modération en prévenant bien sûr le destinataire des SMS forgés.
Edit : Apple a répondu ceci…
Apple takes security very seriously. When using iMessage instead of SMS, addresses are verified which protects against these kinds of spoofing attacks. One of the limitations of SMS is that it allows messages to be sent with spoofed addresses to any phone, so we urge customers to be extremely careful if they’re directed to an unknown website or address over SMS.
Grosso modo, cela veut dire qu’ils ne feront rien, que les gens n’ont qu’à utiliser iMessage qui n’a pas ce bug et qu’on doit rester vigilant quand on reçoit des SMS qui nous invitent à nous rendre sur un site internet inconnu. Ah ok, d’accord…
A la recherche d’un DNS qui vous protège et respecte votre vie privée ?

Vie privée, contrôle parental, exceptions de filtrage…
NextDNS offre une grosse couche de sécurité qui vous permet de bloquer automatiquement la résolution de certains noms de domaine en fonction de listes fournies par différents acteurs. Vous pouvez par exemple bloquer les sites remontés par Google comme les sites fournissant des malwares ou proposant des pages de phishing. Tout ce qui est cryptojacking, c’est-à-dire les sites utilisant votre navigateur pour miner de la cryptomonnaie à votre insu, peut être également bloqué.
Le typosquatting vous connaissez ? Il s’agit de prendre un nom de domaine qui ressemble vraiment à un nom de domaine officiel et tromper les gens qui feraient des fautes de frappe ou en utilisant des caractères ASCII graphiquement proche de véritables lettres de l’alphabet. Et bien ici, même chose, NextDNS vous protège.