Code volé en même temps que l’iPhone : comment éviter la catastrophe
Une enquête du Wall Street Journal a levé le voile sur une pratique inquiétante et qui est de plus en plus courante, du moins aux États-Unis. Avant de s’emparer d’un iPhone, les voleurs tentent de repérer par dessus les épaules de son propriétaire le code qui le déverrouille et quand ils l’ont découvert, il est trop tard pour agir. Le code de verrouillage permet de désactiver toutes les protections en place, d’accéder à toutes les informations stockées dans le trousseau iCloud et même de modifier le mot de passe du compte Apple, laissant le propriétaire légitime sans option pour récupérer le compte et toutes les données associées.
Déverrouiller son iPhone en public, attention danger !
Loin des menaces technologiquement sophistiquées qui ont fait le succès de multiples œuvres de fiction, cette attaque est assez simple à mettre en œuvre, notamment dans des lieux de fête bondés, comme des bars. Des dizaines et dizaines de victimes ont été identifiées aux États-Unis et il n’y a pas de solution miracle pour s’en protéger. On peut espérer qu’Apple apporte une meilleure option, mais en attendant, voici quelques pistes pour éviter le pire.
Avant de commencer, je voulais souligner que tout ce qui suit concerne aussi les iPad et même les Mac. Même si la cible principale est plus naturellement un iPhone, qui sera plus facile à voler et qui sera davantage utilisé en public, les dommages seront les mêmes si une personne récupère votre Mac portable en ayant repéré son mot de passe au préalable.
Ne pas utiliser le trousseau iCloud pour les données les plus sensibles
Si un inconnu met la main sur votre iPhone en connaissant votre code de déverrouillage, il commencera probablement par désactiver le capteur biométrique de l’appareil. Dans les Réglages, puis dans « Face ID et code » ou « Touch ID et code » selon les cas, le code de déverrouillage est demandé par le système, puis vous pouvez réinitialiser la biométrie. C’est également ici que le code de l’appareil peut être modifié, voire supprimé entièrement. Le cas échéant, la biométrie n’a plus aucun rôle et seul le code de déverrouillage sert d’authentification.
Une fois cette étape réalisée, le malandrin peut notamment accéder à toutes les données stockées dans le trousseau iCloud, accessible depuis l’app Réglages, puis « Mots de passe ». Cela veut dire que tous les mots de passe enregistrés par le biais de Safari ou des apps tierces peuvent alors être connus des malfaiteurs, qui peuvent s’en servir, par exemple, pour se connecter à votre banque. C’est ce qui est arrivé à plusieurs victimes, qui ont été volées non seulement d’un iPhone, mais aussi de sommes d’argent plus ou moins significatives selon les règles de leur banque et leur temps de réaction.
Les banques peuvent en général rembourser les sommes volées suite à une affaire de ce genre, mais il faut imaginer toutes les complications associées. Les voleurs peuvent en effet bloquer leurs victimes en modifiant le mot de passe associé à leur compte bancaire et même les éventuelles questions de sécurité. Récupérer son compte peut être complexe dans ces conditions, même après avoir porté plainte, d’autant que les banques utilisent de plus en plus les smartphones eux-mêmes en guise de deuxième facteur.
Toujours se cacher pour taper son code c’est la base !
Regardez au dessus si il n’y a pas de caméra aussi.
Ne jamais donner son téléphone même si quelqu’un vous demande pour un coup de fil ( ça fait crevard mais c’est pas grave )
Et mettre un code en lettre et pas en chiffre bordel !!!😈
@R-APPLE-R
Oui. Même deux-quatre-huit-un-zéro-cinq est mieux que 248105... Je ne comprends pas qu'Apple ne propose pas de code alphanumérique ou au moins numérique mais aussi long que l'on veut (c'est débile de limiter à 6).
@koko256
Si c’est proposé 😐
@R-APPLE-R
J'ai mal terminé ma phrase. Ne le propose pas par défaut quitte à mettre un bouton "utiliser un code à 6 chiffres plus facile à voler" (eavesdrop en anglais, on manque vraiment de mots en français...)
Et sur Android on a accès aux chiffres directement.
@koko256
Oui l’option est comme cacher c’est dommage 👿
@R-APPLE-R
Bref, tout ça n'est pas très casher 😈😈
@koko256
Limité à 6 oui c’est le Max mais vous pouvez choisir de mettre Un code en lettre et chiffres et c’est illimité comme sur Mac 😉😈
@R-APPLE-R
Sur un téléphone le clavier numérique est quand même plus pratique. Je peux facilement retenir un vingtaine de chiffres (comme beaucoup, ce n'est jamais que deux numéros de téléphone) mais retenir 20 chiffres tapés une fois devant soi, c'est déjà plus de l'ordre de rain man.
@koko256
J’ai un code alphanumérique sur mon iphone depuis des années il suffit de choisir code alphanumérique
@ancampolo
Désolé j'ai mal terminé ma phrase. J'ai aussi un code AN depuis que j'ai un iPhone.
Je voulais dire "J'ai mal terminé ma phrase. Ne le propose pas par défaut quitte à mettre un bouton "utiliser un code à 6 chiffres plus facile à voler" (eavesdrop en anglais, on manque vraiment de mots en français...)"
@R-APPLE-R
Également espacer régulièrement les frappes. Bip----bip-bip----bip donne trop d'info.
"Toujours se cacher pour taper son code c’est la base !"
Évidemment ! Combien de gens je voie qui tapent leur code de CB en faisant de grands gestes. Même à plusieurs mètres on peut le "lire". Ça fait peur.
D'ailleurs, coup de gueule contre les claviers tactiles des stations essence : moi qui mettais toujours une main par dessus l'autre et tapais le code avec tous les doigts, au toucher ! Je ne peux plus. Pour la sécurité, le tactile est très mauvais, d'autant qu'il faut effacer les empreintes après son code.
Le plus urgent serait qu'Apple supprime le changement de mot de passe iCloud avec le seul code de l'iPhone.
Avant avec localiser l’activation du mode perdu permettais de changer le code
C’était bien pratique
De toute façon avec FaceID tu tapes presque jamais ton code en public. Perso c'est 10 chiffres d'ailleurs.
Si seulement Apple avait des technologies qui évitaient de taper le code comme la reconnaissance faciale ou l’empreinte digitale en public…
@eX0
La reconnaissance faciale, ne fonctionne pas, à tous les coups, donc il faut avoir le code si jamais cette dernière ne fonctionne pas
@StephanM3
Ou alors une Apple Watch qui déverrouille le tél :)
@cedzic
Et en plus de ça une coque en acier avec une serrure à molettes du temps qu’on y est…
@StephanM3
Sans compter que si tu te fais tabasser pour ton iPhone, FaceID fonctionnera moins bien (une fois l’iPhone retrouvé).
Merci pour cet article. Sans être trop parano je viens tout de même de supprimer du trousseau le code d’accès à mon compte en banque :) surtout que je le connais par cœur.
Je me suis mis la restriction temps d’écran ainsi qu’un code à chiffre avec une longueur personnalisée.
Je trouves au contraire qu'avec Touch ID et Face ID, c'est bien plus pratique d'avoir un long code alphanumérique.
Même si, je vous l'accorde, Touch ID était plus fiable et me demandait quand même moins souvent le code. Mais Face ID, finalement, c'est assez rare aussi !
A mon avis, les malandrins ne s'embêtent pas à siphonner et utiliser les données. Ils utilisent le code pour supprimer le compte iCloud et remettre à zéro l'appareil.
Peut être juste l'appli bancaire à la rigueur.
Vos avis ?
@Encoreplusgrincheux
L’accès aux comptes bancaires, ce n’est pas une spéculation de ma part, c’était dans l’article qui a levé le voile sur le problème. Cela dit, il est évident que l’objectif premier est de désactiver iCloud pour revendre plus facilement l’iPhone.
Pour le coup de compte icloud avec sécurité renforcée, qu'ils ne donnent pas les clés de chiffrement à stocker dans son coffre fort, c'est de l'amateurisme. 1password le fait, Microsoft aussi (pour le disque local, je ne sais pas pour one drive).
J’ai du mal à comprendre en quoi le code alphanumérique pose problème. J’en ai un depuis très longtemps (depuis qu’Apple le permet, ça devait être pour le 5 ou 5S).
Ça ne m’a jamais posé de réel problème. D’autant que l’Apple Watch déverrouille bien l’iPhone en cas de besoin.
Bref le plus simple, ça reste quand même de ne pas « donner » son code. C’est dommage qu’Apple ne permette pas aux utilisateurs de choisir une sécurité plus stricte. Comme elle le fait pour ceux qui voulait avoir la première double authentification ou ceux qui veulent sécuriser les données d’iCloud en chiffrant de bout en bout.
Je ne savais pas qu'avec le code on pouvait tout désactiver ! Même la double authentification ? Merci pour l'info.
J'utilise KeePass ou Strongbox en fonction de l'OS mais dans le trousseau, j'ai tout même pas mal de mdp dont mon ancien id icloud..
Je ne partage pas la conclusion.
On est désormais au fait de gérer nos mots de passe, ça doit également passer par le MdP de nos téléphones. Tous les ans, mon entreprise impose à l’ensemble des collaborateurs de suivre une formation RGPD et sécurité numérique.
J’ai un MdP de 15 caractères depuis que IOS l’autorise et le seul autre MdP que je connaisse est celui qui déverrouille mon coffre fort de Enpass. Même mon MdP d’accès à mon compte Apple, je ne le connais pas…
Comme déjà dit dans la news qui résume l'article du Wall Street journal, tout simplement ne pas taper son code en public. Jamais. Quoi qu'il arrive. Il me semble que c'est beaucoup plus facile de s'isoler les quelques fois où la biométrie nous fait défaut, le temps de taper son code, plutôt que d'appliquer ces recommandations de sécurité, qui même si elles sont judicieuses, deviennent lourdes au quotidien à force.
Je dirais même , « comment éviter la double catastrophe ». 😊👍
Très bien l’article !
Mais là où j’hallucine ce sont les mentions et commentaires qui dénigrent Face ID en rappelant que c’est beaucoup plus capricieux que Touch ID, alors qu’à chaque fois que j’ai mentionné par ailleurs ma préférence pour Touch ID (qui me fera probablement passer au dernier iPhone SE avec Touch ID avant sa disparition (mais pour le moment le 7 a toujours bon pied bon œil)) je me suis fait traiter de ringard attardé 😂.
J’ai tout de même mis un mdp différent dans notes. Ca sera déjà ca auquels personne ne pourra accéder puisque différent du code du tel. Et j’ai désactivé faceid de notes.
Il faudrait deux codes: un pour ouvrir le téléphone et un second pour accéder à l’application Réglage.
Le second code n’étant pas utilisé à tour de bras, il aurait beaucoup moins de risque d’être dévoilé en public.
Merci enfin un commentaire qui propose une solution simple et efficace.
@hucar
Oui c’est bien 👍🏻
@hucar
Bonne idée! Et simple!
Utiliser une protection d’écran qui assombrit l’angle de vision sur les côtés est une option utile, mais pas imparable. C’est ce que j’utilise
Si j’ai bien compris la faille qu’utilise ces escrocs c’est le mot de passe qu’ils retiennent juste avant de te voler ton téléphone.
Dans ce cas j’ai la solution : supprimer le code, cela fera croire au « malandrin » que face/touch ID aura marché et ne voudront pas voler ton précieux… ok je sors 😂😇
J’utilise la méthode code numérique (très) long. Avec cette méthode, je garde le clavier numérique seul, sur lequel sont associées des lettres pour chaque chiffre. Le code pin a été créé en pensant à une combinaison de “lettres/mots” qui me parlent mais ce sont bien les chiffres qui sont pris en compte. Du coup, ce code pin très long est facile à retenir 😅 et à taper quand nécessaire.
En revanche, il est évident que le code AN est plus secure… mais je trouve le clavier Azerty moins pratique si je dois rentrer mon code.