La clé de secours des iPhone utilisée pour exproprier les gens de leur compte Apple
Le 20 avril 2023 à 05h27
2 min
Société numérique
Société
Pour sécuriser les identifiants de ses clients-utilisateurs, Apple a créé les clés de secours. L’idée : générer un code à 28 caractères et pouvoir l'utiliser dans certains cas spécifiques : « Si vous ne vous souvenez plus du mot de passe de votre identifiant Apple, vous pouvez essayer de récupérer l’accès depuis votre appareil de confiance protégé par un code d’accès. Vous pouvez également réinitialiser votre mot de passe à l’aide de votre clé de secours, d’un numéro de téléphone de confiance et d’un appareil Apple ».
Problème : la fonctionnalité est désormais utilisée pour exproprier les usagers de leur compte Apple, rapporte le Wall Street Journal. Le journal américain cite le cas de Greg Frasca, dont l’iPhone 14 Pro a été volé (avec son code) dans un bar de Chicago.
Une fois le téléphone récupéré, les arnaqueurs ont cherché à vider le compte en banque de M. Frasca tout en l’empêchant d’utiliser la fonctionnalité de localisation à distance pour retrouver son téléphone.
Ils ont donc changé le code de son identifiant Apple et utilisé par-dessus la fonctionnalité « clé de secours » pour ajouter un verrouillage supplémentaire sur le compte ainsi obtenu.
Le journal explique avoir réuni des dizaines de témoignages du même type, un peu partout aux États-Unis.
Pendant que les comptes sont bloqués, les arnaqueurs utilisent toutes les applications à disposition, Apple Pay compris, pour récupérer de l’argent.
Les propriétaires, eux, perdent non seulement un smartphone et de l’argent, mais aussi tous les documents enregistrés dans leur compte – dans le cas de M. Frasca, cela comprend notamment huit ans de photos de sa fille.
Pour le moment, outre la multi-sauvegarde des éléments qui ont le plus de valeur aux yeux de son ou sa propriétaire, il n’existe guère de solution.
Même si l’utilisateur a déjà généré une clé de secours, pour peu que les escrocs aient récupéré le code PIN du téléphone, il leur est très simple de générer une nouvelle clé et d’exproprier la personne de son compte Apple.
Le 20 avril 2023 à 05h27
Commentaires (43)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 20/04/2023 à 05h44
C’est génial les sauvegardes dans le Cloud quand le pirate supprime tout …
Toujours avoir des copies sur supports physique chez soi !
Le 20/04/2023 à 06h39
Je ne comprends pas ici que le pirate effacé, juste que l’utilisateur perd l’accès.
Après, on découvre que sauver ses fichiers sur la machine de quelqu’un d’autre n’est pas forcément ce qui est le plus sûr. Un peu comme quand Google décide de fermer un compte. Manque d’éducation je suppose. Dictature de la facilité…
Le 20/04/2023 à 07h44
Dictature de la facilité… Je trouve l’expression facile. On est câblé pour préférer les choses simples d’utilisation. Le cloud a cette qualité. Maintenant, il serait préférable de communiquer aux foules sur les faiblesse de telles solutions. Les entreprises se privent bien de le faire histoire d’avoir le maximum de clients possible.
On vit aussi dans une autre époque. Aujourd’hui, il est facile dans une soirée de récupérer 500 voir 1000 photos. Stocker tout ça sur un DD externe est très pénible et douloureux pour qui n’a pas envie de le faire. Et je ne parle pas des possibilités offertes par le cloud pour la retouche on the go.
Bref, c’est beaucoup plus complexe que : il faut sauvegarder en local.
Le 24/04/2023 à 23h44
:o
Le 20/04/2023 à 06h24
Un univers de plaisir sans fin s’offre à nous, grâce au cloud
Le 20/04/2023 à 06h37
Nan ça c’est le clown computing…
Le 20/04/2023 à 07h23
C’est magnifique tout ça
Le 20/04/2023 à 07h57
Toutes les techniques d’authentification ont le même problème: la gestion des clés perdues/oubliées.
Le 20/04/2023 à 09h36
Merci de me rappeler que j”ai perdu un BTC miné il y a plus de 20 ans. :(
Le 20/04/2023 à 10h29
Alors qu’il a été inventé en 2009? Balèze
Le 20/04/2023 à 12h19
Chut, il ne faut le dire mais c’est lui Satoshi ;)
Le 20/04/2023 à 08h40
De toute manière sur ces 1000 photos, il y en a généralement 10 qui valent le coup, et 0 qui seront regardées dans le futur…
Le 20/04/2023 à 08h49
Il y a forcément un moment dans la procédure Apple où il manque une authentification forte non ?
On devrait pas pouvoir créer de nouvelles clé de secours sans saisir le mot de passe du compte ou valider un FaceID/TouchID.
Après, la sauvegarde externe c’est bien beau, mais les systèmes Cloud “écosystèmes” sont absolument pas conçus pour sortir les données aujourd’hui. Les fonctionnalités de portabilité sont catastrophiques et une plaie à réintégrer.
J’ai déjà demandé mes données à Google Photos, le truc renvoie les originaux + versions retouchées, stocke les EXIF dans des fichiers à part… Alors oui, en cas de perte, on est bien content d’avoir au moins ça, mais pour faire un backup mensuel (ou changer de crémerie) c’est franchement pas simple.
Les fournisseurs de services critiques (pour faire simple, Apple et Google) doivent commencer à remonter au niveau de l’identité pour protéger les comptes. Apple est désormais aussi une banque, c’est inadmissible qu’on puisse prendre contrôle d’un compte dans un tel contexte.
Le 20/04/2023 à 08h54
Si j’ai bien compris, le téléphone a été volé, et le voleur connaissait le code de déverrouillage du tel (il a sûrement vu la victime le saisir).
A partir de là, il a le contrôle quasiment total du téléphone, te peut s’en servir comme facteur d’authentification sur le compte Apple de la victime. Il peut notamment réinitialiser le mot de passe, et une fois avec le mot de passe ET le téléphone, il peut (re)générer une clé de secours.
Le 20/04/2023 à 08h55
Non, Apple n’a pas de licence bancaire, même aux USA où elle s’appuie sur Goldman Sachs.
Le 20/04/2023 à 09h09
Certains avaient déjà dit que la stratégie 2FA n’avait d’intérêt que si c’était sur 2 appareils différents.
Quand tout est sur le même appareil, c’est juste 2 étapes mais pas 2 facteurs.
Le 20/04/2023 à 09h12
Techniquement, ça reste deux facteurs :
Le 20/04/2023 à 09h21
Ce qui peut se résumer simplement à :
” ben quand on a accès, on a l’accès”
Le 20/04/2023 à 09h21
Pas le statut de banque, mais toutes les missions rattachées (carte de crédit, épargne…). C’est peut-être justement un problème qu’Apple ne soit pas reconnue au moins comme une banque de la fintech.
Non mais justement, le code PIN ne devrait pas suffire pour tout faire.
Il y a des actions qui demandent le mot de passe du compte normalement, pas juste le code PIN.
Ma banque par exemple, pour y accéder je dois débloquer le tel (schéma/empreinte), me connecter au compte (empreinte/mot de passe), puis pour certaines actions sensibles, l’application exige un code à 6 chiffres ou un code issu d’une carte papier qui m’a été remise.
Après je viens de regarder Google Accounts, il demande bien de confirmer le mot de passe pour certaines actions, mais avec les saisie automatiques, possible que le PIN seul permette finalement beaucoup plus que ce que je pensais.
Bref, ces sujets de sécurité sont une catastrophe à tous les niveaux. Déjà que de base, perdre ou casser son tel est déjà une plaie pour les services en 2FA rattachés, en y ajoutant l’intention de nuire, c’est juste l’enfer.
Le 20/04/2023 à 09h36
Oui mais là, le voleur a accès au téléphone, et son code de déverrouillage. Et comme 99% des gens doivent avoir leur boite mail sur leur tel, tu peux de toute manière réinitialiser à peut près tous les mots de passe.
Ça fait longtemps que j’ai pas fait la récup de mot de passe chez Apple, mais de mémoire ça te demande de confirmer sur un de tes “appareils de confiance”, dont le téléphone volé fait partie, à moins d’avoir été très réactif et viré le tel de son compte dès que tu te l’es fait voler.
Et sur le tel, pour valider il faut soit utiliser la biométrie, soit le code de déverrouillage (pour les cas où la biométrie a un soucis). Ils ne vont pas demander le mot de passe complet du compte, vu que c’est justement ce que l’on essaye de réinitialiser.
Le 20/04/2023 à 09h52
En fait une fois que tu as le code PIN, tu peux aller dans Réglages > Le compte iCloud et modifier le mot de passe iCloud… tout ça sans saisir le mot de passe initial. Le truc de fou !
Le 20/04/2023 à 10h00
En même temps, si tu as oublié ton mot de passe, et que tu souhaites le réinitialiser, te demander ton mot de passe est légèrement bloquant, non ?
Le 20/04/2023 à 11h50
C’est un autre sujet, je ne parlais pas de la procédure d’oubli de mot de passe.
Si tu as le code PIN de l’iPhone tu peux aller tranquillement modifier le mot de passe iCloud sans jamais devoir saisir le mot de passe.
Le 20/04/2023 à 12h42
Oui mais c’est ça la procédure de récupération de mots de passe justement.
Si tu vas sur iCloud et que tu dis sur la page de login que tu as oublié ton password, il va vérifier que c’est bien toi… via un “appareil de confiance” ! Et forcément il ne vas pas demander le mot de passe que tu cherches à réinitialiser…
Ils pourraient faire la vérification par mail, mais dans la TRES grande majorité des cas la boite mail sera configurée sur le tel de toute manière, ou par SMS, mais le voleur a le téléphone.
De toute manière, en 2023, si quelqu’un a ton smartphone et le code, tu es baisé.
Le 20/04/2023 à 10h51
Oui, c’est ça le problème. Apple permet l’accès au compte iCloud sans utiliser le mot de passe associé lorsqu’on utilise un appareil de confiance (iPhone/Mac associé au compte). Il suffirait juste de rendre le mot de passe nécessaire pour que ce problème soit de l’histoire ancienne
Le 20/04/2023 à 09h21
Techniquement oui.
En pratique, ces deux facteurs sont liés: le voleur te voit faire ton code sur ton téléphone => il a accès aux 2 facteurs d’un coup.
Le 20/04/2023 à 09h37
Après, il est généralement conseillé de ne pas taper ses codes devant tout le monde…
Le 20/04/2023 à 09h47
Dans l’article il est écrit “Le journal américain cite le cas de Greg Frasca, dont l’iPhone 14 Pro a été volé (avec son code) dans un bar de Chicago.”
Le gars en question était peut-être moins vigilant après quelques verres ?
Le 20/04/2023 à 13h26
bah le code pin, il faut le garder pour toi, ne le donner a personne, et eviter les dates de naissances.
comme ta carte bancaire quoi..
fin du game.
Le 20/04/2023 à 13h42
Les commentaires à l’article montrent qu’une solution évidente et universelle à cette situation n’est pas gagné d’avance. x)
Après, je me suis toujours demandé si faire un contrôle d’identité pour les démarches les plus sensibles ne seraient pas nécessaire. Bien évidemment, ça demande d’avoir un acteur tier pour faire le contrôle, le stockage des éléments permettant de confirmer l’identité de la personne et surtout les garanties que ces données et cette fonctionnalité ne soit strictement limité qu’à cet usage.
Mais dans la mesure où on doit jongler entre plusieurs types d’authentifications, de systèmes de récupération, de support 2FA, avoir une solution alternative nécessitant toujours la validation par un autre humain pour l’accès et la modification des données les plus critiques.
(je précise que je donne un exemple au pif, on pourrait tout aussi bien envisager que la modification de ces données nécessitent qu’un contact choisi par l’utilisateur donne sa validation.. vous avez l’idée)
Le 20/04/2023 à 14h21
Le principal soucis n’est pas qu’il n’y a pas de solution, mais que la plupart des gens n’ont aucune conscience des risques numériques, jusqu’au moment où il est trop tard. Donc même quand une solution efficace existe, elle n’est pas implémentée.
Il n’y a qu’à voir la difficulté que j’ai à forcer la MFA au bureau…
Le 20/04/2023 à 16h08
En théorie ça semble pas mal.
Il manque cependant la garantie que ces données ne fuient pas, pour être ensuite utilisées pour de l’usurpation d’identité.
Alors on pourrait toujours songer à demander à faire une vérification d’identité en vidéo. Ça marche tant que l’adversaire n’a pas de quoi faire de deep fake en live.
Après il reste la vérification d’identité en personne. Paraît que c’est plus contraignant.
Le 20/04/2023 à 13h48
c’est ca.
ici l’iphone a ete vole avec son code. donc forcement….
c’est comme si on vole une carte bancaire avec le code et les 3 chiffres au dos…
Le 20/04/2023 à 16h02
En fait il faudrait decoupler le PIN de deverouillage de tout le reste.
Le deverouillage ne devrait que deverrouiller l’appareil. il faudrait un PIN admin en quelque sorte pour le reste, mais ca commence a faire beaucoup de code pour remplacer un MDP. De toute facon mon MDP je ne le connais pas, je l’utilise trop rarement.
Ef dans les cas ou le voleur demande le PIN au proprio sous la menace, il faudrait un code PIN panique comme sur les alarmes.
Le 20/04/2023 à 16h15
En soit je ne vois pas ce que ça aurait de spécifique à Apple cette méthode.
Tout service pour lequel on créé une authentification forte possède des clés de récupération à conserver soigneusement (il est souvent recommandé de les imprimer et les stocker en lieu sûr) qui permettent justement de déclencher le bris de glace.
La question que je me pose à la lecture de cette brève : comment le marteau brise glace a-t-il fini entre les mains des voleurs ? Au final on s’attarde sur les évidentes conséquences, mais je ne vois pas la cause. Ou alors c’est peut-être parce que je ne suis pas familier de l’écosystème Apple.
Le 20/04/2023 à 19h18
Il y a quand même une tendance qui est pour moi mauvaise: mettre tous ses œufs dans le même paniers (ou ici téléphone). La concentration des données y compris sensibles dans un seul appareil dont l’accès est relativement simple ( un code numérique même de 8 chiffres ne peut pas être considérer comme sûre). Je n’utilise pas mon téléphone pour tout faire même si je perds en praticité.
Personnellement, je pense qu’il faudrait une clé du type Yubi/Nitrokey pour sécuriser l’accès au téléphone.
Le 20/04/2023 à 23h25
Un code à 8 chiffres, ça fait pas mal de combinaisons ( 100 millions) mais surtout le nombre d’essais est très rapidement limité dans le temps. Même avec 4 chiffres (10 000), avec la limitation temporelle, c’est impossible d’y arriver par le simple hasard sachant que le système va permettre grosso modo une dizaine d’essais et va commencer à sérieusement râler après.
Le 21/04/2023 à 06h36
Je suis d’accord pour l’attaque “force brut” ce serait stupide. C’est l’indiscrétion que je vois comme une faiblesse: mémoriser une séquence de 8 chiffres qu’un individu observe ne me parait pas irréalisable, donc insécure selon moi.
Le 20/04/2023 à 23h09
Sinon il existe aussi des cas “particuliers” assez rares j’admets mais du genre:
” si vous utilisez votre smartphone (Android) en tant que GPS en mode navigation sous Google Maps sur une moto et que le support (bas de gamme) qui tenait le téléphone finisse par jeter l’éponge et gicler le téléphone, cela quand on est sur une voie rapide genre périph avec de la circulation (genre, on s’arrête pas pour mourir pour un smartphone) ,
Et bien 2 possibilités : soit on espère que le téléphone a été écrasé ou le sera très prochainement soit on court chez un ami pour se connecter à findmydevice >> block & erase phone, parce que tant qu’on est en mode navigation, le lock screen est désactivé…. Et full access à toutes les appli et notamment Gmail qui est le sésame pour réinitialiser tous les mots de passe et en plus avec l’obtention des codes uniques par SMS…
Bref, je dis ça au passage….ça peut arriver… Pas souvent mais quand même…
Le 21/04/2023 à 07h15
Un conseil aussi : décorréler le plus possible l’authentification aux applis sensibles (banque par exemple) du code PIN de déverrouillage du téléphone.
Je sais que par exemple, sur mon iPhone, je peux déverrouiller l’appli Microsoft Authenticator avec Face ID, mais pas avec le PIN. Alors que sur les Android de mes collègues, ça se déverrouille aussi bien avec l’empreinte que le PIN. Pareil pour l’appli de la banque (je viens de vérifier) : pas possible de la déverrouiller uniquement en ayant le code de déverrouillage du tel, s’il ne reconnait pas ma tête, je dois taper le code de la banque.
Le 21/04/2023 à 07h24
Hmm mais toutes les appli bancaires que j’utilise (LCL, Boursorama, HSBC), même si on peut sauvegarder l’identifiant et éviter de le taper (donc le connaître), il faut toujours taper le code ou le mot de passe spécifique à l’appli bancaire.
Un téléphone déverrouillé ne déverrouille pas les appli bancaires.
Autant l’empreinte, oui on peut l’ajouter pour l’appli, mais pour le PIN, ca serait très très bête d’utiliser le même que celui du téléphone…
Le 21/04/2023 à 07h31
Ça doit dépendre de la manière dont tu configures l’appli. Je sais que j’ai activé Face ID (désactivé par défaut), mais je pourrai tout à fait le désactiver et forcer l’utilisation du code propre à la banque. En aucun cas le code de déverrouillage du tel ne permet de déverrouiller mes applis !
Mais j’ai pu observer sur les téléphones d’autres personnes qu’ils pouvaient déverrouiller des applis sensibles (spécifiquement dans ce que j’ai pu observer : Microsoft Authenticator), avec le code de déverrouillage de leur smartphone. Donc ça existe dans la nature.
Le 26/04/2023 à 10h20
mais qui peut etre assez naïf ou inconscient pour mettre une application bancaire sur téléphone?
j’ai jamais eu d’application bancaire (ni médicale) sur smartphone, justement pour ne pas en dépendre sur un appareil encore plus volatile que des clés de voiture ! et en cas de vol?
jamais d’appli bancaire sur tel de mon coté, Ô grand jamais !