Déverrouiller son iPhone en public, attention danger !

Mickaël Bazoge |

Apple peut multiplier les mesures de sécurité et de protection des données dans l'iPhone, il demeure toujours un point de fragilité qu'il sera bien difficile d'améliorer : le code numérique ou le mot de passe qui permet de déverrouiller le smartphone. Le Wall Street Journal relate l'expérience malheureuse de plusieurs victimes d'une méthode de vol assez récente qui les dépouille de leurs économies et les prive de l'accès à leur compte iCloud.

Les malandrins se postent dans des bars et font semblant de socialiser avec leurs victimes dans l'espoir de les voir déverrouiller leur iPhone. Durant la soirée, ils demandent par exemple de se rendre sur un réseau social ou de prendre un selfie. Ces interactions renseignent les voleurs sur le code de déverrouillage du smartphone, en toute discrétion. Une fois l'iPhone en leur possession — lorsque la victime est bien alcoolisée ou carrément en versant de la drogue dans son verre —, c'est malheureusement trop tard.

Les escrocs peuvent accéder aux applications bancaires installées sur l'iPhone (PayPal, Venmo…) et ainsi réaliser des transactions à leur profit — ce d'autant qu'ils peuvent aussi piocher dans le trousseau iCloud… Rien ne les empêche de souscrire une Apple Card au nom de l'utilisateur pour siphonner la ligne de crédit. Et le deuxième facteur d'authentification n'est pas non plus une protection puisque les malfaiteurs sont en possession de l'appareil de confiance de l'utilisateur.

Mais avant de mettre le souk dans les comptes bancaires, les pendards changent tout de suite le mot de passe du compte iCloud. La section Mot de passe et sécurité des réglages de l'identifiant Apple permet en effet de le modifier simplement en saisissant non pas le mot de passe du compte, mais simplement le code de déverrouillage du smartphone.

Lorsque la victime s'aperçoit du vol de son iPhone, il est trop tard : son mot de passe ayant été changé à son insu, il lui est impossible de verrouiller l'appareil à distance ou d'activer le mode Perdu dans iCloud.com ou depuis l'app Localiser sur un appareil tiers (lire la fiche d'assistance d'Apple ainsi que la procédure à suivre en cas de perte ou de vol).

Une fois que les voleurs ont bien pressuré l'iPhone, ils peuvent effacer tous les réglages et revendre l'appareil parfaitement fonctionnel à un bon prix. Cette méthode n'implique aucune difficulté technique, elle nécessite simplement une bonne dose d'entregent et un peu d'ingénierie sociale.

Un porte-parole d'Apple a expliqué au WSJ que le système de changement de mot de passe du compte iCloud a été conçu pour aider les utilisateurs ayant perdu le sésame. Ça part d'un bon sentiment mais il y a ici une sécurité à renforcer pour éviter de perdre complètement l'accès à son compte iCloud et aux données qu'il contient. Peut-être faudra-t-il répondre à des questions personnelles en plus du code ?

En théorie, Face ID ou Touch ID peuvent limiter l'interception du code de déverrouillage. Néanmoins, les autorités new-yorkaises ont prévenu que cela n'empêchait pas les voleurs de faire du grabuge dans l'iPhone : ils déverrouillent l'appareil avec la tête ou le doigt de l'utilisateur complètement éméché et inconscient de ce qui se passe ! La mairie recommande même aux fêtards de désactiver la reconnaissance faciale, ce qui nous parait quelque peu inconsidéré.

« Nous compatissons avec les utilisateurs qui ont vécu cette expérience et nous prenons très au sérieux toutes les attaques contre eux, aussi rares soient-elles », déclare ce même porte-parole, qui ajoute que ces actes criminels restent rares car il faut posséder à la fois le code de déverrouillage et l'iPhone. Néanmoins, « nous continuerons à faire progresser les protections pour aider à sécuriser les comptes des utilisateurs ».

En attendant, on peut toujours opter pour un code alphanumérique long (dans les réglages Face ID et code) et couvrir l'écran du smartphone quand on le déverrouille en public. Et mieux vaut éviter de stocker le mot de passe de ses applications bancaires dans le trousseau iCloud, choisissez plutôt une app tierce comme 1Password dont l'accès est verrouillé par un autre mot de passe que le code de déverrouillage de l'iPhone.

Tags
#sécurité
avatar Mdtdamien | 

Je viens de découvrir une grosse faille d’Apple. Je ne penser pas que le code de déverrouillage que l’on sais facilement interceptable puisse servir à réinitialiser le code utilisateur.

avatar r e m y | 

Tout pareil... je suis effaré ! 😳
Comment peut-on laisser un truc aussi peu sécurisé ? C'est complètement dingue!
C'est la première fois où je vois un compte dont on peut changer le mot de passe sans devoir d'abord saisir le mot de passe actuel...

Moi qui n'ai, comme beaucoup j'imagine, qu'un code à 6 chiffres pour déverrouiller mon iPhone, je réalise ce soir que mon compte iCloud et mon trousseau d'accès ne sont donc protégé QUE par ce code à 6 chiffres. C'était bien la peine que je mette un code à 15 caractères sur iCloud 🤦‍♂️

avatar Encoreplusgrincheux | 

@r e m y

Entièrement d’accord !

avatar F7544 | 

@r e m y

Ahurissant… 😳
Le simple mot de passe du téléphone qui permet de réinitialiser le maître mot de passe iCloud sans entrer l’ancien 😵‍💫

Et en plus le téléphone faisant parti des objets de confiance la double authentification qui saute 🥴

avatar Oracle | 

@r e m y

Encore pire ici : code à 4 chiffres 😅

avatar CorbeilleNews | 

@r e m y

C’est le principe du maillon faible

Parfois le maillon faible est même l’utilisateur : quand il est éméché ou trop imprudent en saisissant son code

Je ne compte plus le nombre d’utilisateurs autour de moi qui "n’ont rien à cacher"

Avec en plus des comptes de réseaux sociaux ou ils étalent toute leur vie

Ils sont si nombreux que grâce à eux si vous êtes un minimum prudent vous êtes "presque" en sécurité 😜

avatar KevinMalone | 

@r e m y

Le principe de la réinitialisation de mot de passe, c'est justement de pouvoir changer ton mot de passe quand tu as toi-même égaré l'ancien. Dans cette philosophie, ce serait quelque peu contreproductif de quémander l'ancien au propriétaire légitime pour qu'il crée le nouveau. Et les applications de ce principe sont nombreuses.

avatar sebas_ | 

@KevinMalone

Je confirme. Pour faire régulièrement le SAV de la famille, c’est souvent une sacrée galère…
« Abuela, c’est quoi ton mot de passe Apple? - Je ne sais plus, je l’ai noté sur le carnet à côté du téléphone - OK, celui la il est trop vieux. Je fais une demande de réinitialiser c’est quoi ton mot de passe gmail? - c’est quoi gmail? - c’est Google - ah, je ne sais plus, c’est compliqué leurs trucs quand même… »
Sinon, spoiler, quand on se fait piquer son portefeuille les voleurs peuvent utiliser le cash sans soucis… et quand on se fait piquer ses clés, les voleurs peuvent dépouiller votre maison tranquilles…
Donc oui, c’est pas le truc le plus sécurité du monde, mais il faut comparer avec ce qui se passait avant et ce qu’on gagne niveau flexibilité..

avatar debione | 

@sebas_ :
"Sinon, spoiler, quand on se fait piquer son portefeuille les voleurs peuvent utiliser le cash sans soucis… et quand on se fait piquer ses clés, les voleurs peuvent dépouiller votre maison tranquilles…"
Oui ils peuvent utiliser le cash, mais rien de plus. Ils ne peuvent pas en plus aller sur le mail de l'entreprise ou l'on bosse, vider les comptes en banque, récupérer tout nos mots de passe, nos photos etc etc...
Il est bien plus délétère pour sa vie de se faire hacker son smartphone que de perdre son portefeuille... Et que si on se fait piquer les clefs, il n'y a pas l'adresse ou l'on habite (contrairement au smartphone ou l'on peut aisément retrouver l'adresse du proprio)...

Ou alors, comme je le fais, je n'ai strictement rien de confidentiel dans mon smartphone. (et du coup qu'il soit sécure ou pas change rien)

avatar r e m y | 

Il y a peu (j'ai eu à changer de mot de passe iCloud l'an dernier), Apple demandait de répondre à 2 des 3 questions de sécurité qu'on a enregistrées à la création du compte iCloud. C'était quand même une protection supplémentaire par rapport à aujourd'hui.

Pourquoi avoir réduit le niveau de protection au moment même où Apple introduit la possibilité de chiffrer intégralement son compte iCloud. C'est un peu incohérent!

(Et au passage, la super clé de sécurité qu'on obtient en activant le chiffrement est totalement inutile vu qu'il suffit de se rappeler du code de déverrouillage de l'iPhone pour récupérer son compte si on en a oublié le mot de passe...)

avatar KevinMalone | 

@r e m y

La vérification en deux étapes (avec questions de sécurité) avait probablement été jugée elle-même trop peu fiable pour des raisons de sécurité aussi. L'ingénierie sociale dont les malandrins pouvaient faire preuve déjà à l'époque avait convaincu Apple d'instaurer la notion d'appareil de confiance avec l'arrivée du double facteur (en lieu et place du deux étapes).
Il y a clairement matière à se creuser encore la pioche pour trouver un nouveau niveau de sécurité.

avatar scanmb | 

@r e m y

Ça n’a pas empêcher Scott Lang de cambrioler le coffre fort d’Hank Pym …
Ok je ==>>>

avatar Lecorbubu | 

@r e m y

Perso ça fait des années que je suis en code alphanumérique à 9 caractères (chiffres, minuscule, majuscule + caractères spéciaux) et bien il faut croire que ce n’est pas superflu 😅

Initialement j’avais fais plutôt ça pour rendre le mot de passe plus complexe à déplomber mais dans les situations évoquées dans cet article ça rendrait sans doute la tâche plus compliquée aux malotrus !

avatar mat16963 | 

@Mdtdamien

Inquiétant en effet !

avatar YuYu | 

« choisissez plutôt une app tierce comme 1Password dont l'accès est verrouillé par un autre mot de passe que le code de déverrouillage de l'iPhone. »
Mais les gestionnaires de mots de passe peuvent aussi être déverrouillés via Face ID ou Touch ID (sauf à désactiver l’option idoine mais il devient pénible de les déverrouiller à chaque fois avec le mot de passe maître)

avatar Mickaël Bazoge | 
Oui, mais c'est une friction supplémentaire qui peut empêcher les voleurs d'accéder aux apps bancaires (surtout s'ils essaient de patouiller ça sans que l'utilisateur soit physiquement présent).
avatar r e m y | 

La plupart des apps bancaires proposent d'activer le déverrouillage par touchID/FaceID (pour éviter de saisir les codes d'accès).

avatar Mdtdamien | 

@r e m y

Oui, et si Face ID ne fonctionne pas, tu saisis ton code à 6 chiffres comme tout le monde et là tu rentres totalement dans le scénario dont parle cette publication

avatar r e m y | 

L'article explique que les malandrins utilisent aussi FaceID ou touchID une fois que leur victime n'est plus en état de résister...
"En théorie, Face ID ou Touch ID peuvent limiter l'interception du code de déverrouillage. Néanmoins, les autorités new-yorkaises ont prévenu que cela n'empêchait pas les voleurs de faire du grabuge dans l'iPhone : ils déverrouillent l'appareil avec la tête ou le doigt de l'utilisateur complètement éméché et inconscient de ce qui se passe ! La mairie recommande même aux fêtards de désactiver la reconnaissance faciale, ce qui nous parait quelque peu inconsidéré."
Et FaceID ou touchID permettent en général de déverrouiller non seulement le telephone mais aussi les gestionnaires de mot de passe ou les apps bancaires (d'où la recommandation de désactiver FaceID/touchID avant d'aller en soirée...)

avatar mimot15 | 

Un avantage de mettre un code alphanumérique un peu compliqué pour dévérrouiller l'iphone est que si vous êtes un peu (très) embrumé par l'alcool, vous n'y arriverez peut-être pas à ce moment là et donc il restera vérrouillé.. mais quelle importance de ne pas y accéder lors d'une soirée très festive ? Au moins vous éviterez la cata racontée ici.

avatar marc_os | 

@ Mdtdamien

> si Face ID ne fonctionne pas, tu saisis ton code à 6 chiffres comme tout le monde et là tu rentres totalement dans le scénario dont parle cette publication

Uniquement dans le scénario débile et peu probable de nos jours où on déverrouille son iPhone avec son code au lieu de TouchID ou FaceID. Donc, non, en général non, "si Face ID ne fonctionne pas", tu ne vas pas plus loin.
De plus, mon app bancaire a son propre mot de passe.
Donc c'est soit TouchID/FaceID, soit code secret de mon compte bancaire.
En plus, si je devais le saisir, le clavier numérique virtuel change à chaque fois de manière aléatoire.
Un coup c'est :
  1 2 3 4 5
  6 7 8 9 0
Une autre fois c'est
  2 3 8 9 0
  1 4 5 6 7
etc.
Donc si d'aventure je devais entrer mon mdp bancaire via le code au lieu de TouchID dans l'app de ma banque dans un bar, peut-être pour virer du l'argent à un ami dans le besoin, si on me voit taper mon code, il ne suffira pas de mémoriser le mouvement du doigt, mais bien lire en même temps le code réellement touché du bout du doigt...

avatar Sindanarie | 

.

avatar socotran77 | 

Et que dire des fois ou je peste parce que Face ID ne veut plus fonctionner et que je suis obliger de taper mon code devant des gens !!!

avatar H2Apps | 

Il faudrait que l’iPhone ne se déverrouille pas quand on est bourré. Cela éviterait d’envoyer des SMS à ses ex ^^

avatar jb18v | 

@H2Apps

Rigole mais il y a eu dans le passé des tweaks qui te proposent un calcul mathématique simple avant l’envoi de messages pendant un créneau horaire ou vers certains contacts ^^

Pour le vol oui c’est dommage mais compliqué de concilier facilité d’usage et sécurité.. à part rester vigilant avec ce qu’on mange ou boit, et encore

avatar cosmoboy34 | 

@jb18v

« compliqué de concilier facilité d’usage et sécurité »

C’est tout le problème. Trouver un juste milieu entre les 2. Il peut y avoir toutes les sécurités du monde, il y aura toujours une parade pour contourner. La on parle d’abus humains. Même si la sécurité était renforcée d’une manière ou d’une autre, rien n’empêcherait dans ce cas de menacer les victimes pour les codes eux même par exemple. C’est sans fin. Fort heureusement d’après les sources citées c’est rare et mérite peut être pas de changer tout le système sécuritaire pour 99% des autres

avatar Valiran | 

Oui! On pouvait même l'activer à la volée en tout discrétion via 3 clics sur power !

avatar lolo81 | 

@H2Apps

😅ça sent le vécu 😉
je compatis

avatar passingphantom | 

@H2Apps

Oh ben à mon avis quelqu'un développera bien une IA capable de détecter l'état d'ébriété de l'expéditeur (rédaction du msg etc...) et qui décidera pour lui d'envoyer le message ultérieurement avec avant l'envoi une boîte de dialogue du genre: hier t'as écrit ça à machin/e, t'es sûr que tu veux lui envoyer: Plus rien ne m'étonnerait de nos jours.

avatar zoubi2 | 

@H2Apps

😂😂😂

avatar marc_os | 

@ H2Apps

> Il faudrait que l’iPhone ne se déverrouille pas quand on est bourré

Le jour où l'Apple Watch pourra mesurer le taux d'alcoolémie, peut-être !

avatar calotype | 

J’attends toujours le retour de Touch ID , c’était tellement mieux avant !

avatar bidibout | 

@calotype

Si seulement 😢

avatar celebration | 

@bidibout

On est 3 contre des millions 💪

avatar JOHN³ | 

@celebration

4

avatar Spinaker | 

@JOHN³

5

avatar hugome | 

@Spinaker

6

avatar marc_os | 

@ hugome

7

Sans compter tout ceux qui ne disent rien.

(C'est comme pour la TouchBar. 🤔 Pour une personne qui disait qu'elle était géniale, on a eu cent handicapés du petit doigt gauche pour râler contre.)

avatar Tetaroide Bleu | 

@calotype

Je vais garder un modèle SE avec, le plus longtemps possible, juste pour cette raison (jusqu'à ce qu'iOS ne soit plus compatible) Avec un peu de chance, il finira par revenir sous l'écran !

avatar Insomnia | 

@Tetaroide Bleu

Je doute que le touchID puisse revenir, le capteur sous écran a déjà fait ces preuves. Apple ne cherche qu’à garder la main sur son système.

avatar lyonp69 | 

@calotype

Ah non !!!!!!!!!!

avatar cosmoboy34 | 

@calotype

Dans ce cas ci ça ne changerait absolument rien. Une fois que t’es dans les vapes rien de plus facile que d’utiliser ton doigt 😅

avatar CorbeilleNews | 

@cosmoboy34

Pourquoi faire 👍🏻🤦‍♂️😋

avatar AKZ | 

Sniff, qu’est-ce qu’il me manque.
Je n’ai jamais autant tapé mon code depuis Face ID.

avatar Link1993 | 

@calotype

C'est vrai qu'il a un certain côté fiable où Touch ID ne cherche pas à scanner plusieurs fois pour rien. Face ID est plutôt bien là dessus, mais c'est vrai que posé sur une table, dès que l'écran s'allume pour une notification, il va faire un scan, et parfois il le comptabilise aux nombres de scans possible avant désactivation de la fonction.

Mais que ça soit Face ID ou Touch ID, quand on fait une activité physique (déménagement, vélo... bref, quand le téléphone est dans une poche humidifié par la transpiration et secoué dans tous les sens) avec le téléphone dans la poche, je remarquais que les deux se désactivaient quoi qu'il arrive...

En tout cas, depuis qu'il y a Touch ID, c'est code à rallonge avec 15 caractères. C'est juste tellement basique de faire ça tellement on le tape rarement...

avatar hugome | 

@calotype

Toujours sur iPhone 7, en partie pour cette raison.

avatar marc_os | 

@ hugome

> Toujours sur iPhone 7

Idem, mais depuis que son OS ne peut plus évoluer...
Un jour il va bien falloir que je change, et ça me fait bien du mal d'être obligé de mettre tant d'argent dans un... téléphone.

avatar Tetaroide Bleu | 

Personnellement, je ne rentre pas mon code en public point barre. Si pour une quelconque raison la biométrie ne marche plus, soit je m'isole le temps de la réactiver, soit j'attends d'être à nouveau seul et ne me sers pas de mon téléphone en attendant. Notons que pour changer le mot de passe iCloud, la biométrie ne suffit pas, il faut forcément le code du téléphone. Donc même si on me drogue, et qu'on utilise mon doigt ou ma tête à mon insu, les malfrats n'auront pas accès à mon code. Comme dit dans un commentaire plus haut, je garde un téléphone avec Touch ID pour limiter les risques de déverrouillage de mon téléphone par un intrus. Et je n'y stocke que des mots de passe non vitaux. Le risque zéro n'existe pas, mais au moins s'il m'arrive une histoire du genre, j'aurais fait mon possible pour limiter les dégâts.

avatar Vano89 | 

@Tetaroide Bleu

Tout pareil, je viens d'envoyer ce meme type de commentaire

avatar lepoulpebaleine | 

Conclusion : consommez avec modération en soirée !

Pages

CONNEXION UTILISATEUR