Il y a quelques mois, une enquête du Wall Street Journal a mis en lumière une vague d’attaques à l’encontre des utilisateurs d’iPhone. Le mode opératoire des criminels est d’une effrayante simplicité. Dans un premier temps, ils se rapprochent de leur cible, rencontrée par hasard dans un endroit public, comme un bar. Après avoir sympathisé avec la future victime, le voleur va chercher à obtenir ou deviner le code de déverrouillage de son iPhone. Pour convaincre la cible de déverrouiller le smartphone sous leurs yeux, ils vont prétexter un échange de numéro ou un selfie.
Une fois que le code a été aperçu, le voleur va simplement trouver le moyen de dérober l’iPhone. Avec le code et le téléphone, ils vont pouvoir payer à votre carte bancaire par le biais d’Apple Pay ou tenter d’accéder à votre compte en banque. Ils vont aussi pouvoir fouiller dans le trousseau de l’iPhone et s’emparer de tous les mots de passe enregistrés. Bref, l’intégralité de la vie de la victime peut s’effondrer.
En marge de cette enquête d’envergure, la journaliste Joanna Stern du Wall Street Journal est entrée en contact avec un criminel spécialisé dans le vol d’iPhone, un individu appelé Aaron Johnson. Celui-ci purge une peine de prison dans un pénitencier du Minnesota. Selon le journal, le jeune homme a volé des centaines d’iPhone à Minneapolis avec l’appui d’une bande de onze comparses entre 2021 et 2022. Il a été condamné à 94 mois d’emprisonnement pour vol.
À lire aussi : Apple a enfin réussi à contrer le petit boîtier qui faisait planter les iPhone
Le criminel détaille son mode opératoire
Interrogé par le Wall Street Journal, le prisonnier explique avoir commencé sa carrière criminelle comme pickpocket. Dans le besoin, Johnson s’est lancé dans le vol de portefeuilles et autres objets de valeur pour nourrir sa famille. Rapidement, il s’est concentré sur les smartphones. Il s’est en effet rendu compte qu’un simple code d’accès pouvait rapporter gros.
« Ce code d’accès, c’est le diable. Ce pourrait être Dieu parfois — ou ce pourrait être le diable », estime Aaron Johnson, qui précise s’être « trop laissé emporter » par l’appât du gain.
Dans un premier, Johnson et son gang prenaient le temps de bien sélectionner la cible idéale, généralement dans un bar. Les voleurs se sont rapidement rendu compte que les hommes en âge d’aller à l’université étaient des proies parfaites, car « ils sont déjà ivres et ne savent pas ce qui se passe ». Le bandit entre alors en contact avec la victime en lui proposant de la drogue ou en affirmant être un musicien souhaitant l’ajouter sur un réseau social. Il demande un bref accès au smartphone pour y encoder son numéro de téléphone ou le nom de son profil. Trop confiante, la cible confie l’iPhone à son interlocuteur. C’est là que Johnson récupère le code de déverrouillage en clamant « hé, votre téléphone est verrouillé ». La cible donne alors son code d’accès… et Johnson s’empresse de le stocker dans sa mémoire. Il n’a plus qu’à subtiliser le smartphone.
Une fois que l’appareil a été dérobé, le voleur se rend dans les paramètres pour changer le mode de passe permettant de se connecter au compte Apple. Il prend aussi soin de désactiver l’accès à Localiser, l’app qui permet de retrouver l’iPhone s’il est perdu ou volé en utilisant la fonction de localisation intégrée par Apple. De facto, la victime n’est plus en mesure de pister l’iPhone ou d’en effacer le contenu à distance. Johnson avait ensuite pris l’habitude d’enregistrer son propre visage dans la reconnaissance faciale Face ID.
« Quand vous avez votre visage là-bas, vous avez la clé de tout », résume le voleur.
C’est là que le criminel va faire main basse sur la vie numérique de la cible. Avec un accès complet à votre iPhone, il va pouvoir se connecter à l’application bancaire installée sur le terminal ou à une plateforme d’échange de cryptomonnaies. Dans certains cas, ces applications réclamaient différents codes du code de déverrouillage. Avec un peu de pratique, Johnson s’est rendu compte que de nombreux utilisateurs stockent ces informations dans l’application Notes, à sa portée. En parallèle, le voleur utilise Apple Pay pour régler des achats en magasins. Une fois que les économies de la victime se sont envolées, l’iPhone est rapidement revendu à l’étranger.
Apple prend des précautions
Pour protéger ses utilisateurs, Apple n’a pas tardé à déployer une mise à jour d’iOS. Au sein d’iOS 17.3, le géant de Cupertino a en effet intégré un nouveau mécanisme de protection en cas de vol d’iPhone. La nouveauté, intitulée « Protection en cas de vol de l’appareil », va réclamer une authentification biométrique, via Face ID ou Touch ID, pour réaliser certaines actions sensibles. Parmi les actions nécessitant une authentification, on trouve la modification des mots de passe dans le Trousseau iCloud, la désactivation du mode Perdu ou l’effacement de tout le contenu et des réglages.
Surtout, Apple va imposer un délai de sécurité si certaines actions se déroulent alors que l’iPhone est localisé dans un lieu inconnu. Par exemple, un criminel qui souhaite changer le mot de passe du compte Apple ou le code d’accès devra attendre une heure pour que le changement soit effectif. C’est également le cas pour l’ajout d’un visage à Face ID ou d’une empreinte sur Touch ID. Ces actions exigent aussi une seconde authentification biométrique, barrant la route à un criminel qui a pris la poudre d’escampette avec l’iPhone. Pour activer ce mécanisme, suivez la procédure ci-dessous :
- Rendez-vous dans l’application Réglages
- Allez dans la section Face ID et code/ Touch ID et code
- Descendez jusqu’à Protection en cas de vol de l’appareil
- Appuyez sur Activez la protection
- Authentifiez-vous avec votre visage ou votre empreinte
La mise à jour iOS 17.3 est uniquement disponible en version bêta pour le moment. Sauf surprise, Apple devrait déployer le firmware en version définitive dans les semaines à venir.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : Wall Street Journal
J’ai du mal à comprendre comment ça peut fonctionner; le mot de passe iCloud est différent du code de l’iPhone. Avoir le code de l’iPhone peut effectivement être utile pour payer avec et accéder aux données personnelles mais l’iPhone reste bloqué par iCloud et peut être localisé ou verrouillé à distance.
Malheureusement non
car avec le code de l’iPhone on peut changer – le mot de passe iCloud (car il ne demande pas l’ancien mote de passe iCloud.. une aberration en terme de sécurité Apple )
– on peut ajouter une nouvelle empreinte de visage .. et donc avoir accès à toutes les applications à identification via l’empreinte (donc le trousseau de mot de passe, l’application bancaire, etc .. a tout)