SMS mal sécurisés ? Apple conseille iMessage, ou les cartes postales
Par Arnaud Morel - Publié le
Parfois, on se gratte un peu la tête en considérant la manière dont Apple traite certaines questions de sécurité. En fin de semaine dernière, pod2g, célèbre membre de la scène jailbreak, alertait sur une faille dans l'implémentation d'Apple concernant les SMS.
Apple a répondu à cette découverte, de manière surprenante et passablement désinvolte :
Formidable. Apple se garde de dire qu'il serait sans doute assez trivial de faire apparaître les deux champs concernés (expéditeur et destinataire de réponse) pour sécuriser un peu plus la chose. Et conseiller d'utiliser iMessage, qui ne fonctionne totalement qu'entre appareils iOS et OS X, revient à botter en touche un peu vite. Certes, le protocole SMS n'est pas des plus sécurisés, et il convient d'être méfiant en recevant des SMS, mais quand même, ça fait un peu mauvais genre.
Quand un utilisateur écrit un message, il est converti avec le protocole PDU (Protocol Description Unit), puis passé au baseband pour l'expédition, explique-t-il. Le protocole, assez dense, permet divers types de messages, SMS, MMS, alertes Voicemail... il embarque une partie de code nommée UDH (User Data Header) où il est possible de spécifier une adresse de réponse, différente de l'adresse d'expédition. Et Apple présente, justement, cette seule adresse de réponse dans le champs expéditeur. Il est dès lors possible de tromper l'utilisateur en lui envoyant un message sur lequel apparaitra un champs expéditeur donné, alors que le message sera envoyé à l'expéditeur réel, qui n'apparait pas. On image les risques de Phishing, ou même de
fausses preuvesbidonnées.
Apple a répondu à cette découverte, de manière surprenante et passablement désinvolte :
Apple prend la sécurité très au sérieux. En utilisant iMessage au lieu des SMS, les adresses sont vérifiées ce qui protège des attaques de spoofing. Une des limitations des MSS est qu'ils permettent d'envoyer des messages à n'importe quel téléphone avec une adresse trompeuse, nous conseillons donc à nos clients d'êtres très prudents s'ils reçoivent des messages pointant vers un site web ou une adresse inconnue.
Formidable. Apple se garde de dire qu'il serait sans doute assez trivial de faire apparaître les deux champs concernés (expéditeur et destinataire de réponse) pour sécuriser un peu plus la chose. Et conseiller d'utiliser iMessage, qui ne fonctionne totalement qu'entre appareils iOS et OS X, revient à botter en touche un peu vite. Certes, le protocole SMS n'est pas des plus sécurisés, et il convient d'être méfiant en recevant des SMS, mais quand même, ça fait un peu mauvais genre.