Astuce : passer outre l'identification à deux facteurs pour localiser votre iPhone volé

Stéphane Moussie |

L'identification à deux facteurs est une option très importante pour sécuriser votre compte iCloud, mais, dans de rares cas, elle peut se mettre en travers de votre chemin… sauf à connaître une astuce.

Simon, un lecteur, s'est cru bloqué par l'identification à deux facteurs quand il a voulu localiser son iPhone qui venait d'être volé :

Je me suis fait voler mon iPhone ce week-end à Paris dans le métro et j’étais accompagné de ma cousine. Le voleur était en face de nous mais aucun moyen de prouver qu’il l’avait dans la poche (il s’était mis à faire semblant de recevoir un appel sur son propre téléphone, nous enlevant la possibilité de lui parler et mon iPhone était en vibreur). J'ai eu le réflexe d’aller sur iCloud via l’iPhone de ma cousine mais l’identification à deux facteurs m’a bloqué vu qu’elle demandait le code de mon iPhone qui était dans la poche du voleur. Donc le voleur est parti avec mon iPhone.

Si Simon avait été accompagné par une personne faisant partie de son partage familial Apple, il aurait pu utiliser l'application Localiser de cette personne pour faire sonner ou verrouiller son iPhone sans avoir besoin de s'identifier. Autre possibilité, utiliser un autre appareil Apple personnel sur lequel il était déjà connecté, comme un iPad (cellulaire).

Mais voilà, Simon n'avait rien de tout ça et ne pouvait donc pas utiliser la fonction Localiser sur un autre appareil dans l'urgence (le temps de rentrer chez lui, il était trop tard, son iPhone avait été éteint et ne pouvait plus être localisé). Du moins, c'est ce qu'il croyait avant d'apprendre, trop tard, qu'il y a une solution prévue pour ce cas de figure.

Quand vous vous connectez sur iCloud.com sur un nouvel appareil, après avoir saisi votre mot de passe, vous êtes confronté au champ dans lequel vous devez saisir le code de validation reçu sur un de vos appareils habituels. Pour autant, vous n'êtes pas totalement bloqué ici.

Après la saisie du mot de passe, mais avant celle du code de validation, un accès rapide à trois fonctionnalités est disponible.

Remarquez les trois icônes présentes en bas de la page : Apple donne un accès rapide à Localiser, Apple Pay et Réglages Apple Watch. Vous pouvez accéder à ces fonctionnalités sans saisir le second facteur d'authentification.

Après avoir cliqué sur Localiser, vous accédez à la fonction qui vous permet de géolocaliser votre iPhone et de le faire sonner, de le verrouiller ou de l'effacer au besoin. Simon aurait donc pu faire sonner son iPhone en utilisant cet « accès rapide » sur le téléphone de sa cousine s'il l'avait su… Les autres parties d'iCloud.com (Mail, Contacts, Calendrier, Photos, etc.) sont inaccessibles sans le second facteur.

Les péripéties ne s'arrêtent pas là pour notre pauvre Simon. Son iPhone envolé, il a configuré celui-ci en mode perdu avec un numéro à appeler. Un peu plus tard, le voleur a envoyé un SMS à ce numéro en se faisant passer pour Apple.

La tentative de phishing du voleur.

Le SMS contenait un lien vers un faux site iCloud l'invitant à saisir le code de déverrouillage de son iPhone, code qui aurait permis au voleur d'utiliser l'iPhone comme bon lui semble ensuite si Simon lui avait fourni. Il s'agit d'une fraude très courante après les vols.

Pour résumer, l'identification à deux facteurs ne vous mettra pas de bâtons dans les roues pour localiser en urgence votre iPhone disparu. Il faut simplement savoir qu'il existe cet accès rapide à Localiser (ainsi qu'à Apple Pay et aux Réglages Apple Watch) quand vous vous connectez sur iCloud.com. Autrement, vous pouvez vous rendre directement sur la page icloud.com/find qui ne vous demandera pas le second facteur.

Pour aller plus loin :
avatar Kriskool | 

👍🏼

avatar dorninem | 

Exact j’ai utilisé ceci dimanche dernier avec l’iPhone de ma femme qui était tombé lors d’une balade en forêt .
C vrai que quand on voit l’écran avec demande saisie code ben... on se dit que c’est n’importe quoi 😶
Et voir ce petit icône c’est pas forcément évident, surtout en phase de ´panique ´

avatar raoolito | 

pas bien compris: la personne etait devant lui ? Et cette même personne peut envoyer des sms avec « apple » marqué dessus ?
sinon merci pour l’astuce en effet !

avatar sachouba | 

@raoolito

Ce n'est pas difficile d'envoyer un SMS de phishing avec un nom de marque. Des apps Android permettent de le faire.

avatar Dv@be | 

@raoolito

Pour le naming du sms en effet c’est assez étonnant.

avatar pagaupa | 

Voleur, geek et vicieux! Quel joli monde nous vivons!

avatar RonDex | 

Quoi que il vaut mieux perdre un téléphone, plutôt que ce « frotter » à des voleurs qui peuvent être violant…
Un téléphone ça se remplace, des blessures c’est moins évident !
Mieux vaut prendre une assurance contre le vol. Bien entendu, il faut le faire avant ! Cependant, pour ceux qui prennent le métro régulièrement, ça me semble indispensable…

Cependant, je croyais que les iPhone, une fois déclaré volé ne pouvaient plus être utilisés par un voleur ? Car ils sont bloqués ?

En tout cas, merci MacG pour l’information. Ça risque d’être très utile pour certains d’entre nous, malheureusement.

avatar asseb | 

@RonDex

Outre les tentatives de phishing ou de deviner le mot de passe par ingénierie sociale, la plupart des iPhone volés finissent en pièces détachées « d’origine », ce qui vaut son pesant d’or.

avatar Totoche31 | 

J’aurais pris à parti le voleur en espérant que d’autres personnes viennent m’aider 😕

avatar oboulot | 

@Totoche31

En soit dans un pays civilisé ce comportement marcherait et serait tout à ton honneur malheureusement en France, nous ne disposons pas d’une loi comme aux USA de type «  loi du samaritain » et trois cas de figure peuvent arriver
- personne ne bouge ( soit 90% des cas )
- tu joue au héros et tu finis handicapé ( voir l’affaire Martin ) voir pire ( le chauffeur de bus à Bayonne, RIP )
- tu casse la Gu*le au voleur, ce dernier blessé porte plainte contre toi et tu la dans le cl

avatar simnico971 | 

@oboulot

Ah oui en France il n'existe pas de lois permettant de se faire justice soi-même en flinguant des gens dans la rue. Points bonus d'impunité si c'est un noir.

Que c'est dommage ça quand même.

avatar oboulot | 

@simnico971

Le point blacklivesmatter du jour ! Déjà premièrement ou est ce que j’ai parler de noirs ? Deuxièmement je n’ai jamais parler de fl1nguer qui que ce soit ? Et troisièmement pour t’instruire un peu timal : « La loi du bon Samaritain (en anglais Good Samaritan law) est, aux États-Unis, un ensemble de règles destinées à protéger tout citoyen (et notamment les secouristes bénévoles) portant assistance contre toute poursuite judiciaire possible. »
Plus d’info sur cette loi ici : https://fr.m.wikipedia.org/wiki/Loi_du_bon_samaritain

avatar Link1993 | 

@Totoche31

Ça ne marche pas. Il faut pointer quelqu'un du doigt et lui dire de venir pour faire tourner une personne à son avantage.

avatar DrStrange | 

A la place de Simon je t’aurai arrêté et on aurait fini devant la police, avec des plates excuses si je me suis trompé. Surtout s’il avait de bonnes raisons de penser être devant son voleur.

avatar debione | 

@DrStrange
Sauf que si c'est moi et que je ne t'ai pas volé, je te colle un procès au cul pour diffamation, contrainte et je te fais payer au prix fort mon avocat et le temps perdu...
Les excuses c'est comme la confession, de la merde en barre.

avatar RonDex | 

@debione

🤣 tu sais au moins ce que c’est une diffamation…

avatar arm07 | 

Le message de phishing est très au point, l'URL fait presque officielle et dans la panique on peut se faire avoir.

avatar RonDex | 

@arm07

Ils sont très rusé ces voleurs… 😓

avatar marc-5 | 

@arm07

Je me suis déjà fait avoir après un vol justement, j’ai changé le mot de passe de l’identifiant à temps

avatar padrig | 

Merci pour l’information, c’est toujours bon de le savoir d’avance. ☺️

avatar J_r_m | 

Le problème c’est que même sans avoir à entrer le code de vérification 2FA, rien que me connecter à mon compte iCloud avec mon mot de passe me serait impossible depuis un appareil autre que le mien.

En effet, à utiliser un gestionnaire de mots de passe, je n’en connais plus aucun...

avatar Niamor4130 | 

@J_r_m

Je me suis fait la même réflexion

avatar apaisant | 

@J_r_m

J'utilise un gestionnaire de mot de passe (celui de Safari) mais pour mon adresse icloud et mon adresse gmail j'ai des mots de passe robuste que je connais par cœur par contre.

avatar bidibout | 

@apaisant

Idem chez moi, le mot de passe iCloud étant le sésame vers tout le reste je ne me voyais pas y mettre le mdp principal.

C'est d'ailleurs pour ça qu'avec le recul je regrette d'avoir utilisé l'adresse Mail iCloud comme adresse principale puisque forcément quand on voit l'adresse on sait que c'est l'identifiant de mon compte.

avatar marenostrum | 

tu ne peux pas créer un mot de passe tout seul ? en combinant des lettres de ton nom (ou un autre nom de tes proches) et les numéros de ta date de naissance par ex.
même un utilisant un programme de mots de passe il te faut un code par cœur.

avatar J_r_m | 

@marenostrum

Non même le mot de passe maître de Dashlane je le stocke dans le gestionnaire de safari. Donc je m’en sors sans connaître aucun mot de passe, puisqu’au final le mot de passe grand maître devient faceID 😁

Mais effectivement, c’est pas génial... Je vais sûrement faire comme @apaisant et me créer des mots de passe mémorisables au moins pour iCloud et Gmail.

avatar Krysten2001 | 

@J_r_m

En tout cas en utilisant le service d’Apple pour les Mdp, iOS comprend que c’est votre compte et c’est vous qui devez faire un mdp pour votre compte Apple car si c’était un mdp robuste suggéré par l’appareil comme vous ben après c’est impossible 😂🤣

avatar strix80 | 

@J_r_m

Bonjour , en effet ; sauf si comme indiqué dans le cas de Simon ( dont l’histoire bien créée de toutes pièces pour aborder les différents cas ) vous disposez d’un autre iAppareil comme un iPad.
Le mieux est de tester au calme chez soi , pour essayer d’être opérationnel au cas où !

avatar Mageekmomo | 

A la place de Simon j'aurais commencé une bagarre (une petite juste pour attirer l'attention 😇) et si tout le monde finit au poste au moins on peut prouver à qui est l'iPhone

avatar David Finder | 

@Mageekmomo

Pareil ! Hors de question de laisser partir le voleur alors qu’il est juste devant moi. Si je sais que c’est lui, raf des « preuves ».

avatar marenostrum | 

il était surement pas sûr. pour ça qu'il a pensé le faire sonner pour d'abord s'assurer lui-même et lui dire ensuite que voila mon iPhone se trouve dans votre poche. mais aussi ça pouvait donner une alerte pour les autres qui se trouvaient à côté. ça aurait pu lui faciliter la tache.

et c'est pas évident d'accuser quelqu'un de voleur, il peut porter plainte.

avatar arkhazim | 

Petit tips supplémentaire :
Si vous rentrez dans la barre d’adresse du navigateur « iCloud.com/find » au lieux de juste iCloud.com, cela vous amène directement sur la page pour localiser l’iPhone sans demander l’ID à 2 facteur

avatar Ali Baba | 

@arkhazim

C’est ce qui est écrit à la fin de l’article en effet.

avatar arkhazim | 

@Ali Baba

Quand j’ai mit le message, l’article ne comprenais pas cette dernière précision, qu’ils ont ajusté après mon post... c’était pas juste de la paraphrase x)

avatar almyor | 

@arkhazim

+1

avatar sebv | 

Il y a aussi dans l’app Localiser, onglet MOI, tout en bas : aider un ami...

avatar Ali Baba | 

@sebv

Ah oui, top !

avatar Polochonappleseed | 

Si non sur la page de double authentification il y a un lien pour localiser ses appareil en passant outre la double authentification :)

avatar tylerdurden13 | 

Intéressant. Vers où renvoyait au final l’URL Locate-iCloud.com ?
Avec une Apple Watch on peut également retrouver/faire sonner son iPhone volé ?

avatar Polochonappleseed | 

@tylerdurden13

Oui il suffit d’afficher le centre de contrôle et d’activer la sonneriez l’iPhone à distance

avatar tylerdurden13 | 

@Polochonappleseed

Mais ça ne localise pas l´iPhone, ça le fait juste sonner et encore il faut qu’il soit à proximité avec la connexion Bluetooth en wifi ça ne fonctionne pas apparement.
Pas de solution depuis l’Apple Watch pour localiser l’iPhone sur une carte et le bloquer ...?

avatar Polochonappleseed | 

@tylerdurden13

Non ce n’est pas possible mais c’est déjà un bon point ☺️

avatar macbook60 | 

Avec iOS 13 on peut localiser son iPhone même si il est éteint ?!!

avatar marenostrum | 

par Cloud il doit sonner l'iPhone même en mode vibreur, sinon la fonction est mal pensée. et s'il était sur que son voleur était en face de lui, il fallait appeler la police, ou lui dire de vider les poches, et pour le prouver y avait que l'ouvrir l'appareil, ou monter la facture et sa boite qui se trouvait chez lui.

l'histoire est bizarre. en tout cas ça montre un gars qui n'est pas à l'aise, d'où le vol d'ailleurs. les voleurs sont comme les prédateurs, ils attaquent des proies faciles.

avatar Polochonappleseed | 

@marenostrum

Ton message est immonde. Ce n’est jamais la faute de la victime.

avatar marenostrum | 

pour ça j'ai dit qu'il fallait appeler la police. c'est son rôle de protéger les plus faibles. quelqu'un de costaud se débrouille peut-être tout seul.

avatar marc-5 | 

@marenostrum

Je me suis fait voler mon iPhone à l’arraché dans le métro, j’ai pas spécialement eu le temps d’immobiliser le voleur...

avatar r e m y | 

Vous êtes sûr de la tentative de phishing? Parce que l'URL indiquée est valide et aboutit sur la page iCloud.com et pas sur une imitation de celle-ci...

avatar tylerdurden13 | 

@r e m y

Si c’est du fishing, l’adresse affichée ne correspond pas à l’adresse de redirection. Ce serait intéressant de connaître quelle était l’adresse de redirection.

avatar r e m y | 

@tylerdurden13

L'adresse de redirection c'est iCloud.com/find , non?
Moi c'est ce que j'obtiens...

Pages

CONNEXION UTILISATEUR