Astuce : passer outre l'identification à deux facteurs pour localiser votre iPhone volé
L'identification à deux facteurs est une option très importante pour sécuriser votre compte iCloud, mais, dans de rares cas, elle peut se mettre en travers de votre chemin… sauf à connaître une astuce.
Simon, un lecteur, s'est cru bloqué par l'identification à deux facteurs quand il a voulu localiser son iPhone qui venait d'être volé :
Je me suis fait voler mon iPhone ce week-end à Paris dans le métro et j’étais accompagné de ma cousine. Le voleur était en face de nous mais aucun moyen de prouver qu’il l’avait dans la poche (il s’était mis à faire semblant de recevoir un appel sur son propre téléphone, nous enlevant la possibilité de lui parler et mon iPhone était en vibreur). J'ai eu le réflexe d’aller sur iCloud via l’iPhone de ma cousine mais l’identification à deux facteurs m’a bloqué vu qu’elle demandait le code de mon iPhone qui était dans la poche du voleur. Donc le voleur est parti avec mon iPhone.
Si Simon avait été accompagné par une personne faisant partie de son partage familial Apple, il aurait pu utiliser l'application Localiser de cette personne pour faire sonner ou verrouiller son iPhone sans avoir besoin de s'identifier. Autre possibilité, utiliser un autre appareil Apple personnel sur lequel il était déjà connecté, comme un iPad (cellulaire).
Mais voilà, Simon n'avait rien de tout ça et ne pouvait donc pas utiliser la fonction Localiser sur un autre appareil dans l'urgence (le temps de rentrer chez lui, il était trop tard, son iPhone avait été éteint et ne pouvait plus être localisé). Du moins, c'est ce qu'il croyait avant d'apprendre, trop tard, qu'il y a une solution prévue pour ce cas de figure.
Quand vous vous connectez sur iCloud.com sur un nouvel appareil, après avoir saisi votre mot de passe, vous êtes confronté au champ dans lequel vous devez saisir le code de validation reçu sur un de vos appareils habituels. Pour autant, vous n'êtes pas totalement bloqué ici.
Remarquez les trois icônes présentes en bas de la page : Apple donne un accès rapide à Localiser, Apple Pay et Réglages Apple Watch. Vous pouvez accéder à ces fonctionnalités sans saisir le second facteur d'authentification.
Après avoir cliqué sur Localiser, vous accédez à la fonction qui vous permet de géolocaliser votre iPhone et de le faire sonner, de le verrouiller ou de l'effacer au besoin. Simon aurait donc pu faire sonner son iPhone en utilisant cet « accès rapide » sur le téléphone de sa cousine s'il l'avait su… Les autres parties d'iCloud.com (Mail, Contacts, Calendrier, Photos, etc.) sont inaccessibles sans le second facteur.
Les péripéties ne s'arrêtent pas là pour notre pauvre Simon. Son iPhone envolé, il a configuré celui-ci en mode perdu avec un numéro à appeler. Un peu plus tard, le voleur a envoyé un SMS à ce numéro en se faisant passer pour Apple.
Le SMS contenait un lien vers un faux site iCloud l'invitant à saisir le code de déverrouillage de son iPhone, code qui aurait permis au voleur d'utiliser l'iPhone comme bon lui semble ensuite si Simon lui avait fourni. Il s'agit d'une fraude très courante après les vols.
Pour résumer, l'identification à deux facteurs ne vous mettra pas de bâtons dans les roues pour localiser en urgence votre iPhone disparu. Il faut simplement savoir qu'il existe cet accès rapide à Localiser (ainsi qu'à Apple Pay et aux Réglages Apple Watch) quand vous vous connectez sur iCloud.com. Autrement, vous pouvez vous rendre directement sur la page icloud.com/find qui ne vous demandera pas le second facteur.
@tylerdurden13
L'adresse de redirection c'est iCloud.com/find , non?
Moi c'est ce que j'obtiens...
@r e m y
C’est bien une tentative de smishing, si tu regarde bien l’URL avant le .com c’est locate-icloud, et pas seulement « iCloud.com »
Mais le site est très bien copié en effet !
@arkhazim
Certes, mais si on tape cette adresse, on est automatiquement redirigé vers iCloud.com/find ...
@r e m y
Yes, mais tu n’est pas dans l’application message du client, l’URL n’est pas développé dans la capture d’écran
@arkhazim
On peut masquer une URL derrière celle affichée, dans un sms? Je pensais que c'était du texte pur...
@r e m y
Alors je crois que c’est possible mais j’en ai pas la certitude
En revanche j’ai mit mon iPhone en mode perdu et j’ai vérifié avec certitude ce que je pensais
Apple n’envoie JAMAIS de sms pour suivre l’état d’un mode perdu / effacer ou quoi
Tu reçois l’info par mail uniquement
Les seuls sms qu’Apple peut envoyer c’est la double validation, ou dans le cas d’une procédure de récupération de compte
Beaucoup de gens qui n’ont pas peur de se faire planter à la place de Simon par ici...
@krully37
C’est clair, ils imaginent tous qu’une « petite bagarre » dans le métro résoudrait la situation... On voit qu’ils n’ont jamais eu affaire à des types baraqués et probablement équipés de couteaux ! Quand on se retrouve avec une lame dans le ventre, c’est trop tard...
et comment alors il aurait pu récupérer son iPhone, même s'il aurait pu le faire sonner ?
pourquoi il a pas appelé la police ?
@marenostrum
Je ne sais pas 🤷♂️
@krully37
Le Warrior Keyboard traditionnel, la grande majorité ne c’est sûrement soit jamais battu soit ne pratique pas de sport de combat et encore même avec ces deux facteurs, il vaut mieux éviter la violence surtout pour un portable et surtout les amis pensez a bien activer la suppression des donnés de votre iPhone au bout des 10 tentatives erronées ( désactive par default il me semble )
Bon à savoir merci
Moi je ne comprends pas bien le fonctionnement de l'identification à deux facteurs. Si je me connecte sur iCloud.com sur mon ordinateur, le code du 2ème facteur est envoyé... sur mon ordinateur. Donc concrètement, si j'ai mon mot de passe principal, j'ai aussi le deuxième code. C'est un bug ou c'est moi qui ai mal réglé un truc ?
c'est un appareil de confiance ton ordinateur, pour ça qu'il renvoie le code partout. le pirate n'aura pas accès à ton compte admin s'il te pique l'ordinateur, bref Apple ne va pas lui envoyer le code même si l'appareil est le même, le compte non. dans les Préférences de tous tes appareils, tu es relié avec Apple.
@Oliviou
Ça peut paraître bête en effet mais c’est un comportement normal
Ton mac est considéré comme un appareil de confiance, qui est protégé par un mot de passe de session
Donc quand tu te connecte via ton navigateur internet, le serveur iCloud comprend que c’est une connexion via un site web, et pas depuis ton appareil de confiance
-(il comprend que c’est depuis ton produit de confiance uniquement quand tu est dans les apps natives de macos)-
Il va donc ce comporter, comme n’importe quelle connexion via web, et envoyer un code de validation à tous tes appareils de confiance (donc le mac depuis lequel tu te connecte)
Bonjour,
Il m'est arrivé à peu près la même chose en juin.
Je me suis fais bousculer par un type qui s'est platement excusé et qui est parti fort vite avec l'iPhone que j'avais dans ma poche de chemise (pas bien !).
Depuis je reçois des messages me disant que le téléphone (iPhone 11 Pro Max) a été retrouvé au Maroc. J'ai même vu l'adresse dans "Localiser".
J'ai racheté un téléphone.
J'ai même reçu des appels d'un soi-disant policier de Casablanca me demandant un code WhatsApp pour traduire (sic !) et même un appel FaceTime (auquel je n'ai pas répondu).
Une remarque l'adresse en icloud est en fait icioud où le i est en majuscule.
J'ai également reçu de faux imessages venant (faussement) d'Apple.
Et ma sœur qui est mon contact d'urgence a également reçu de faux messages.
En conclusion, je me dis que les voleurs sont sacrément coriaces et qu'il doit être difficile de déverrouiller un iPhone.
Bref, faire attention.
@mathoulin
Bonjour
Tous cela pour le vendre pièces !!!
@mathoulin
« En conclusion, je me dis que les voleurs sont sacrément coriaces «
En fait non. Les iPhones sont revendus en l’etat, à des receleurs spécialisés qui eux connaissent toutes les ficelles. Il y a une professionnalisation de la filière.
Je garde mon iPhone dans une poche intérieur de mon manteau, évitant de le sortir dans les transports en commun. Pour les appels et lire les SMS j’utilise mon Apple Watch 4, moins facile à dérober.
On commence à regretter les amidovitchs et leur papier à signer afin de détourner ton attention et te piquer ton téléphone ou ton portefeuille...la technologies et le phishing c’était pas trop leur cam.
On remarquera tout de même qu’en général la petite et grosse délinquance se porte très bien en France...nos forces de l’ordre sont bien plus zélées et mobilisées quand il s’agit de répression envers les mouvements sociaux...
Heu...
C’est une astuce ou une faille ?
Et c’est fonctionnel sur toutes les plateformes ?
J’ai été une fois dans cette situation et ai essayé de faire la manip depuis un Android et la fonctionnalité n’était pas dispo depuis ses navigateurs (chrome et celui de Samsung de tête)
@banneliv
Tout navigateur internet récent oui
(La partie localiser en tout cas, parfois l’affichage des infos personnelles style photo / mails etc... peut ne pas fonctionner en fonction dès navigateur et/ou appareils)
comment peuvent ils envoyer un message avec l entête apple ? je pige pas ..
@digitalscreen
« comment peuvent ils envoyer un message avec l entête apple ? je pige pas .. »
Pas bien compliqué. Il suffit d’un téléphone dont le nom est Apple, à la place d’un nom comme Marie-Christine ou Paulo !
Ou utiliser un logiciel d’envoi de SMS.
@IceWizard
Je me posais la même question merci
Moi il me manque vraiment un accès sans le deuxième facteur à mon agenda et à mes contacts depuis que cette merde m’a été imposée et qu’on ne peut plus revenir en arrière.
D’ailleurs je ne comprends même pas l’intérêt de iCloud.com via un navigateur, sauf pour la fonction localiser, puise qu’on ne peut absolument plus s’en servir... sauf quand on n’en a pas besoin, puisqu’on dispose d’un de ses appareils !
Super astuce ! Merci 🙏
L’accès rapide à Localiser (ainsi qu'à Apple Pay et aux Réglages Apple Watch) n’est pas nouveau . C’est utilise et rapide pour délocaliser un téléphone face à un client . Sans attendre le double facteur .
Pages