Une vaste enquête du Wall Street Journal révèle comment des criminels contournent les mesures de sécurité de l’iPhone pour voler l’argent et toutes les données personnelles de leurs victimes. L’opération, d’une grande simplicité, consiste à utiliser le code de déverrouillage du smartphone pour piller un compte bancaire, régler des achats avec Apple Pay ou prendre le contrôle d’un compte en ligne.
Non, « La pression sociale pour obtenir un iPhone est assez folle » chez les jeunes Américains
Le mode opératoire des voleurs
Concrètement, les malfaiteurs commencent par espionner leur cible dans un endroit public, comme un bar, un restaurant ou une boîte de nuit. En observant leur victime, les brigands cherchent à deviner le code d’accès qui permet de déverrouiller l’iPhone. Pour y parvenir, le voleur entre parfois en contact avec l’utilisateur. Une fois que le code a été aperçu, le malfrat n’a plus qu’à subtiliser le téléphone.
Toutes les victimes interrogées par le Wall Street Journal expliquent d’ailleurs que le vol est survenu lors d’une soirée durant laquelle elles ont interagi avec des inconnus. La plupart des chapardeurs manipulent la cible pour qu’elle déverrouille l’iPhone devant eux, en prétextant un selfie ou l’ajout d’un compte Snapchat. Dans certains cas, le téléphone a été arraché de leurs mains en pleine rue. Certaines victimes expliquent avoir été agressées lors du vol, ou droguées.
Avec le code et l’iPhone en sa possession, le voleur peut par exemple payer ses achats avec Apple Pay dans un commerce. Même si Face ID ou Touch ID est activé, l’attaquant peut simplement entrer le code numérique lors d’un paiement. Une victime révèle avoir été débitée de 1 500 dollars en l’espace d’une nuit par le biais de la carte de crédit liée à Apple Pay.
Pire, le criminel peut se servir du code pour accéder à l’application de votre banque. Bien souvent, les utilisateurs se servent en effet de la même combinaison… Avec le code d’accès, ils peuvent alors réaliser des virements à l’insu du propriétaire de l’iPhone.
Surtout, le code permet à l’escroc d’accéder à tous les mots de passe enregistrés dans le trousseau de l’iPhone. En se rendant dans les réglages, l’attaquant obtient ainsi la liste de tous les identifiants de sa victime. Il est alors libre de se connecter à son compte PayPal, Amazon, Disney+, Netflix, Sony ou Uber. L’escroc peut aussi pénétrer dans une application de messagerie instantanée, comme WhatsApp ou Signal, et y dénicher des informations sensibles.
Cette section contient également les mots de passe des applications financières, comme celles des plates-formes d’échange de cryptomonnaies ou d’un service de paiement. L’attaquant se retrouve en mesure de siphonner toutes les devises numériques d’un investisseur.
Pour éviter que la victime ne bloque l’accès à son compte Apple, le voleur se sert parfois du code d’accès pour effacer tous les appareils de confiance et désactiver la localisation de l’iPhone. Virée de son compte, la victime ne peut pas empêcher le criminel de faire des ravages.
D’après les policiers interrogés par le média, ce type d’attaques est en recrudescence un peu partout aux États-Unis. Dans le Minnesota, un gang est d’ailleurs parvenu à voler 300 000 dollars à 40 victimes. La bande visait les barmans avec des iPhone. Après avoir vidé les comptes, les escrocs revendaient rapidement l’appareil sur le marché de l’occasion.
Soucieux de protéger sa réputation, Apple a promptement réagi à l’enquête du Wall Street Journal. Le géant californien assure qu’il s’agit de cas isolés, mais consent à améliorer la sécurité de ses appareils, sans se montrer très précis sur les mesures qui seront prises :
« Nous sympathisons avec les utilisateurs qui ont eu cette expérience et nous prenons toutes les attaques contre nos utilisateurs très au sérieux, aussi rares soient-elles. Nous continuerons à faire progresser les sécurités pour aider à protéger les comptes de nos utilisateurs ».
Comment se protéger des voleurs d’iPhone ?
Tout d’abord, le Wall Street Journal recommande de revoir la complexité de votre code d’accès. Le média invite les utilisateurs à remplacer le code numérique de 6 ou 4 chiffres par un code alphanumérique. Ce type de mot de passe comprend à la fois à des lettres et à des chiffres. Il serait plus difficile à deviner pour les voleurs, note le média. On vous explique comment faire ci-dessous :
- Rendez-vous dans les réglages de l’iPhone
- Allez dans Face ID et code, ou Touch ID et code
- Entrez votre code actuel
- Allez dans Changer le code
- Retapez votre code
- Cliquez sur Options de code
- Appuyez sur Code alphanumérique perso
- Entrez votre nouveau code et confirmez
Prenez également l’habitude de déverrouiller votre iPhone avec Touch ID ou Face ID, surtout lorsque vous vous trouvez dans un bar, un restaurant ou n’importe quel endroit public. De cette manière, un éventuel criminel ne pourra pas deviner votre code en vous observant. Si vous devez absolument entrer votre code d’accès, soyez le plus discret que possible. Au restaurant, cachez votre iPhone sous la table lorsque vous tapez le code.
On vous conseille aussi de sécuriser l’accès de vos comptes les plus sensibles à l’aide d’une clé de sécurité physique, comme une Yubikey. Sans cette clé, semblable à une clé USB, il est impossible que le voleur prenne le contrôle d’un compte. Cette précaution empêchera par exemple un voleur de voler vos cryptomonnaies.
Dans la même optique, stockez les mots de passe les plus importants dans un gestionnaire de mots de passe séparé, sans passer par le trousseau par défaut d’Apple. Par prudence, sécurisez l’accès à ce gestionnaire avec une clé de sécurité, que vous gardez à votre domicile. Un hypothétique voleur ne sera plus en mesure de vous dépouiller en se servant uniquement de votre code d’accès.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : Wall Street Journal
Bonjour,
Votre article date de 2023.
Je pense que les pirates ont dû trouver d’autres failles.
Je me suis fais pirater mon compte 49 débits tous à moins de 300 euros en Malaisie.
A cette même date,J’avais ma carte et mon téléphone en France!!!
La banque dit qu’Apple Pay n’est pas leur service monétique et refuse de rembourser.
Quid de ce vide juridique? Cordialement.