Le célèbre hacker français pod2g vient de découvrir une faille présente dans toutes les versions du système d'exploitation mobile de la Pomme.
Récemment, le hacker pod2g, connu pour ses exploits réalisés sur iOS, le système d'exploitation mobile d'Apple, a découvert qu'une faille importante relative aux SMS était présente sur l'ensemble des versions d'iOS, incluant même les versions bêta d'iOS 6, la prochaine mouture de l'OS mobile de la marque à la pomme. Malheureusement, cette faille n'est aucunement exploitable pour un quelconque jailbreak. Toutefois, le pirate a jugé important de notifier cet état de fait, la faille pouvant être utilisée par des personnes malveillantes.
C'est à travers son blog officiel que pod2g a annoncé tout cela, en prenant soin d'informer la firme de Cupertino. Le problème viendrait de l'implémentation du protocole PDU (Protocol Description Unit), celui-là même qui permet la transmission des messages. Ainsi, lorsqu'un utilisateur écrit son SMS ou son MMS, celui-ci est converti en PDU par le terminal pour ensuite être envoyé vers l'opérateur, qui lui le redirige vers le destinataire. Grâce à ce protocole, l'émetteur peut transmettre un numéro de réponse qui est différent de celui d'envoi.
Dans iOS, le problème est que l'utilisateur ne voit que le numéro auquel il peut répondre, et non le numéro d'envoi, ce qui permet à une personne malintentionnée de se faire passer pour quelqu'un d'autre lors de l'envoi de messages textes. Cette faille étant jugée grave par le pirate français, outre le fait de la rendre publique, il a également développé une application, nommée sendrawpdu, pour contrer cela. Cette dernière est disponible sur GitHub ici.
Apple, qui se tient très au courant de la communauté de pirate, a jugé important de transmettre un communiqué à nos confrères de Engadget :
Apple prend la sécurité très au sérieux. Quand on utilise iMessage au lieu de SMS, les adresses sont vérifiées, ce qui protège les utilisateurs de ce type d'attaques par spoofing. Une des limitations des SMS est qu'ils autorisent l'envoi de messages avec des adresses usurpées vers n'importe quel téléphone, c'est pourquoi nous insistons sur le fait que les clients doivent de se montrer extrêmement prudents qu'ils sont redirigés vers un site web inconnu via un SMS.
Ne faites pas trop confiance aux SMS que vous recevez. Il est aussi important de rappeler que ce type de failles n'est pas présent que sur l'iPhone et iOS, d'autres systèmes d'exploitation mobile et d'autres terminaux sont concernés.