iOS : une faille permet d’usurper l’identité d’un expéditeur de SMS

Selon le célèbre hacker Pod2g, toutes les versions d’iOS, le système d’exploitation de l’iPhone et de l’iPad, y compris la dernière version bêta d’iOS 6, sont concernées par une faille de sécurité qui permet d’envoyer un SMS frauduleux en faisant croire qu’il provient d’un autre expéditeur.

Pod2g, le hacker français principalement connu pour son travail sur le Jailbreak des iPhone, vient de publier sur son blog une faille de sécurité qui affecte le service de messagerie texte du smartphone d’Apple, mais qui affecte toutes les versions d’iOS, le système d’exploitation de l’iPhone et de l’iPad, y compris la dernière version bêta d’iOS 6, utilisée par le futur iPhone 5.

Cette faille permettrait à une personne mal intentionnée d’usurper l’identité d’un tiers, et d’envoyer un SMS en faisant croire qu’il provient d’un autre expéditeur. Le hacker met l’utilisation du protocole PDU (Protocol Data Unit) faite par Apple qui dissocie le numéro de la personne qui envoie le message et le numéro affiché. « Avec iOS, le message est associé directement à la fonction « Répondre à » en perdant la trace du réel expéditeur », explique Pod2g.

Tyler Shields explique dans une note sur le blog de Kaspersky Lab que « cette faille pourrait sembler inoffensive, mais qu’elle permet de jouer sur la crédulité des utilisateurs pour procéder à des attaques d’ingénierie sociale ».

De son côté, le principal concerné Apple préfère dégager en touche en rejetant la responsabilité de cette faille sur le protocole PDU lui-même et propose aux utilisateurs de se tourner vers iMessage, la messagerie 100% Apple, malheureusement réservée aux seuls possesseurs de iDevice ! De fait, Apple n’apporte aucune réponse ni solution à cette faille de sécurité.