Pod2g a receemment découvert une faille relatives aux SMS présente dans toutes les versions d’iOS (même dans la dernière bêta d’iOS 6). Malheureusement pour nous, il ne s’agit pas d’une faille exploitable pour un futur jailbreak, mais donne la possibilité à une personne mal intentionnée d’envoyer des SMS en se faisant passer pour quelqu’un d’autre.


Le problème vient de l’implémentation d’Apple du protocole PDU (Protocol Description Unit) qui est responsable de la transmission des messages. Lorsque vous tapez un SMS (ou un MMS), votre message est converti en PDU par votre téléphone et envoyé vers votre opérateur. Ce protocole offre la possibilité à l’émetteur de transmettre un numéro de réponse qui est différent de celui d’envoi. Une fonction similaire au champ « Répondre A » présent dans votre boite email. Le problème dans iOS, c’est que l’utilisateur ne voit que le numéro de téléphone auquel il peut répondre et non le numéro d’envoi.

Estimant que cette faille était grave, Pod2G a décidé de la rendre publique. Il a même développé une application baptisée sendrawpdu qu’il a mis en ligne sur GitHub.

Dans un communiqué envoyé à Engadget, Apple indique « prendre la sécurité très au sérieux. Quand on utilise iMessage au lieu de SMS, les adresses sont vérifiées, ce qui protège [les utilisateurs] de ce type d’attaques spoofing. Une des limitations des SMS est qu’ils autorisent l’envoi de messages avec des adresses usurpées vers n’importe quel téléphone ; nous recommandons donc à nos clients de se montrer extrêmement prudents s’ils sont redirigés vers un site web inconnu via un SMS ».

Les utilisateurs d’autres smartphones ne sont pas mieux lotis, cette failles concerne tous les téléphones.