La clé de secours des iPhone utilisée pour exproprier les gens de leur compte Apple
Pour sécuriser les identifiants de ses clients-utilisateurs, Apple a créé les clés de secours. L’idée : générer un code à 28 caractères et pouvoir l’utiliser dans certains cas spécifiques : « Si vous ne vous souvenez plus du mot de passe de votre identifiant Apple, vous pouvez essayer de récupérer l’accès depuis votre appareil de confiance protégé par un code d’accès. Vous pouvez également réinitialiser votre mot de passe à l’aide de votre clé de secours, d’un numéro de téléphone de confiance et d’un appareil Apple ».
Problème : la fonctionnalité est désormais utilisée pour exproprier les usagers de leur compte Apple, rapporte le Wall Street Journal. Le journal américain cite le cas de Greg Frasca, dont l’iPhone 14 Pro a été volé (avec son code) dans un bar de Chicago.
Une fois le téléphone récupéré, les arnaqueurs ont cherché à vider le compte en banque de M. Frasca tout en l’empêchant d’utiliser la fonctionnalité de localisation à distance pour retrouver son téléphone.
Ils ont donc changé le code de son identifiant Apple et utilisé par-dessus la fonctionnalité « clé de secours » pour ajouter un verrouillage supplémentaire sur le compte ainsi obtenu.
Le journal explique avoir réuni des dizaines de témoignages du même type, un peu partout aux États-Unis.
Pendant que les comptes sont bloqués, les arnaqueurs utilisent toutes les applications à disposition, Apple Pay compris, pour récupérer de l’argent.
Les propriétaires, eux, perdent non seulement un smartphone et de l’argent, mais aussi tous les documents enregistrés dans leur compte – dans le cas de M. Frasca, cela comprend notamment huit ans de photos de sa fille.
Pour le moment, outre la multi-sauvegarde des éléments qui ont le plus de valeur aux yeux de son ou sa propriétaire, il n’existe guère de solution.
Même si l’utilisateur a déjà généré une clé de secours, pour peu que les escrocs aient récupéré le code PIN du téléphone, il leur est très simple de générer une nouvelle clé et d’exproprier la personne de son compte Apple.