Déverrouiller son iPhone en public, attention danger !
Apple peut multiplier les mesures de sécurité et de protection des données dans l'iPhone, il demeure toujours un point de fragilité qu'il sera bien difficile d'améliorer : le code numérique ou le mot de passe qui permet de déverrouiller le smartphone. Le Wall Street Journal relate l'expérience malheureuse de plusieurs victimes d'une méthode de vol assez récente qui les dépouille de leurs économies et les prive de l'accès à leur compte iCloud.
Les malandrins se postent dans des bars et font semblant de socialiser avec leurs victimes dans l'espoir de les voir déverrouiller leur iPhone. Durant la soirée, ils demandent par exemple de se rendre sur un réseau social ou de prendre un selfie. Ces interactions renseignent les voleurs sur le code de déverrouillage du smartphone, en toute discrétion. Une fois l'iPhone en leur possession — lorsque la victime est bien alcoolisée ou carrément en versant de la drogue dans son verre —, c'est malheureusement trop tard.
Les escrocs peuvent accéder aux applications bancaires installées sur l'iPhone (PayPal, Venmo…) et ainsi réaliser des transactions à leur profit — ce d'autant qu'ils peuvent aussi piocher dans le trousseau iCloud… Rien ne les empêche de souscrire une Apple Card au nom de l'utilisateur pour siphonner la ligne de crédit. Et le deuxième facteur d'authentification n'est pas non plus une protection puisque les malfaiteurs sont en possession de l'appareil de confiance de l'utilisateur.
Mais avant de mettre le souk dans les comptes bancaires, les pendards changent tout de suite le mot de passe du compte iCloud. La section Mot de passe et sécurité des réglages de l'identifiant Apple permet en effet de le modifier simplement en saisissant non pas le mot de passe du compte, mais simplement le code de déverrouillage du smartphone.
Lorsque la victime s'aperçoit du vol de son iPhone, il est trop tard : son mot de passe ayant été changé à son insu, il lui est impossible de verrouiller l'appareil à distance ou d'activer le mode Perdu dans iCloud.com ou depuis l'app Localiser sur un appareil tiers (lire la fiche d'assistance d'Apple ainsi que la procédure à suivre en cas de perte ou de vol).
Une fois que les voleurs ont bien pressuré l'iPhone, ils peuvent effacer tous les réglages et revendre l'appareil parfaitement fonctionnel à un bon prix. Cette méthode n'implique aucune difficulté technique, elle nécessite simplement une bonne dose d'entregent et un peu d'ingénierie sociale.
Un porte-parole d'Apple a expliqué au WSJ que le système de changement de mot de passe du compte iCloud a été conçu pour aider les utilisateurs ayant perdu le sésame. Ça part d'un bon sentiment mais il y a ici une sécurité à renforcer pour éviter de perdre complètement l'accès à son compte iCloud et aux données qu'il contient. Peut-être faudra-t-il répondre à des questions personnelles en plus du code ?
En théorie, Face ID ou Touch ID peuvent limiter l'interception du code de déverrouillage. Néanmoins, les autorités new-yorkaises ont prévenu que cela n'empêchait pas les voleurs de faire du grabuge dans l'iPhone : ils déverrouillent l'appareil avec la tête ou le doigt de l'utilisateur complètement éméché et inconscient de ce qui se passe ! La mairie recommande même aux fêtards de désactiver la reconnaissance faciale, ce qui nous parait quelque peu inconsidéré.
« Nous compatissons avec les utilisateurs qui ont vécu cette expérience et nous prenons très au sérieux toutes les attaques contre eux, aussi rares soient-elles », déclare ce même porte-parole, qui ajoute que ces actes criminels restent rares car il faut posséder à la fois le code de déverrouillage et l'iPhone. Néanmoins, « nous continuerons à faire progresser les protections pour aider à sécuriser les comptes des utilisateurs ».
En attendant, on peut toujours opter pour un code alphanumérique long (dans les réglages Face ID et code) et couvrir l'écran du smartphone quand on le déverrouille en public. Et mieux vaut éviter de stocker le mot de passe de ses applications bancaires dans le trousseau iCloud, choisissez plutôt une app tierce comme 1Password dont l'accès est verrouillé par un autre mot de passe que le code de déverrouillage de l'iPhone.
@lepoulpebaleine
A enfin un commentaire utile 😁👍🏻
On ne "sympathiise" pas avec les victimes, on compatit en bon français.
@nykk
Le fameux voleur qui s’apitoie du sort de ses victimes, c’est bien bien connu.
Effectivement ca fait bien peur. Et c’est du grand n’importe quoi de la part d’apple de pouvoir changer le code icloud sans entrer l’ancien.
Par contre je déverrouille mon appli bancaire avec faceid mais le mot de passe n’est pas dans le trousseau.
Et mes mots de passe vraiment importants sont dans notes qui a un mot de passe différent.
Par contre apple pay c’est chocolat.
Je ne rentre jamais mon code avec quelqu'un a coté. Si obligé car face id imposdible, je lache l'affaire
@Vano89
Moi ça m’arrive mais je descends tout de suite le type.
@Spinaker
En ce qui me me concerne, j’ai trouvé moins radical : j’ai acheté un neuralyser des Men In Black (crayon flasheur de mémoire) d’occas. sur le bon coin…
@Derw
En effet c’est mieux ! 👍
Euh…
Comment dire ?
Je ne comprend pas comment ça peut arriver avec faceid qui est juste magique en toute circonstance. À part des utilisateurs androïd ça fait bien longtemps que je n’ai pas vu quelqu’un taper le code de sont smartphone.
Je suis le seul ?
@Yves SG
Il faut régulièrement taper son mot de passe même avec Face ID ou Touch ID d’activé…
@Ichigo-Roku
Pfff n’importe quoi ! Je ne le tape jamais !!!!
@Ichigo-Roku
Heu…
Non. Pas chez moi (ni mon entourage).
Et je peux vous garantir que je n’ai jamais eu à saisir mon mdp en public.
C’est peut-être un réglage ?
@Ichigo-Roku
En cas de manipulation par une autre personne, l’iPhone détecte un mauvais visage et fini par demander le code même quand le vrai job visage se représente.
@ Ichigo-Roku
> Il faut régulièrement taper son mot de passe même avec Face ID ou Touch ID d’activé…
Uniquement après que j'aie éteint complètement mon iPhone soit volontairement soit parce que la batterie s'est vidée totalement.
Sinon, jamais.
J’ai découvert il y a un mois à peu près cette méthode de changement du mot de passe. J’étais à la fois surpris de la facilité de l’opération et satisfait, car comme indiqué dans l’article ça m’a permis de redonner accès à son compte Apple à mon père qui avait oublié sont mot de passe.
Les deux points de vue sont donc compréhensibles mais étant donné la quantité de données sensibles contenues dans un iPhone un peu plus de sécurité serait bienvenu. Des questions ou l’envoi d’un code sur le téléphone d’un proche par exemple.
Je viens de vérifier :
Pour le Mac, c’est la même chose. Il suffit d’entrer.
Le mot de passe de session du Macintosh pour pouvoir réinitialiser le mot de passe iCloud en passant par la meme séquence de menu. 🫠
Seul l’Apple Watch demande l’ancien mot de passe puisque l’on peut réinitialiser aussi le mot de passe iCloud via l’ écran de l’Apple Watch
🫥
Oui enfin... c'est bien la peine avec ioS16.3 de proposer le chiffrement des données iCloud en fournissant une super clé de sécurité à placer au coffre à la banque parce que si on perd son mot de passe iCloud, personne ne pourra nous redonner accès à ces données, si il suffit de connaître le code derrouillage de l'iPhone pour créer un nouveau mot de passe et retrouver toutes ses données iCloud!
(Oups... c'est à Shaba que je voulais répondre)
@r e m y
+ 1
Cette clef ne sert à rien puisque contournable
@r e m y
Ce qui veut dire que le “Mek” ou la “Nana” avec un compte iCloud sur son mac et qui va se chercher un café en laissant sa session Mac ouverte…
Ben il va pouvoir lécher longtemps la “touillette” 🙀
Et bien sûr, pas moyen de désactiver l'affichage, même furtif, des caractères du mot de passe alors que c'est possible sur Android.
@koko256
Idem c’est ce point qui m’a toujours courroucé.
Je trouve trop facile de regarder un code. Même de loin.
@raphta
Et avec les caméras de surveillance dont la résolution augmente, cela ne va pas s'arranger.
@ koko256
> Et bien sûr, pas moyen de désactiver l'affichage, même furtif, des caractères du mot de passe
Ce n'est pas un problème car je ne dois jamais saisir aucun mot de passe sur mon iPhone
> alors que c'est possible sur Android
J'ai oui dire que sous Android il fallait saisir son mot de passe bien plus souvent. Donc possible probablement parce que nécessaire.
Et que dire du déverrouillage de trucs Android en dessinant un motif sur l'écran d'accueil ?
J'en vois quasi tous les jours dans le métro.
Rien de plus facile à réutiliser si on vole le téléphone à l'arrachée.
Je pense que c’est depuis une MAJ, ce n’etait pas possible avant de mémoire.
Mieux une fois que “le malandrin” a modifié le mot de passe, il peut aller dans l’application “Localiser” activer le mode perdu des autres appareils afin de demander un petit ransonware 😑
Ou effacer carrément ces appareils pour éviter toute récupération du compte 🥳
@F7544
C’est un cauchemar
Il a tout intérêt à effacer tous les autres appareils du compte... sinon le propriétaire légitime peut à son tour changer le mot de passe du compte iCloud depuis l'un de ces appareils pour en récupérer l'accès.
@r e m y
En mode perdu , le mac est verrouillé et d’après le site d’Apple il faut le mot de passe du compte iCloud… (qui a changé…)
https://support.apple.com/fr-fr/HT208987
Eh les gars… Un peu de résilience !
Quelque soit le système, si vous interceptez mon mot de passe et que vous me volez mon iPhone dans la foulée, ni Apple ni le Bon Dieu (s’il existe) ne pourra y remédier !
Je peux condamner mon iPhone à partir de mon Mac, de mon iPad voire de ma Watch en cas de vol ou de perte du précieux.
Sauf omission de ma part, je ne connais pas un autre système aussi Secure.
Mais comme Apple, c’est de la Merde, je dis ça, je dis rien !
Faut lire tout l'article !
Le voleur de l'iPhone change le mot de passe du compte iCloud (avec le code de déverrouillage qu'il t'a vu taper) et tu ne peux plus verrouiller à distance l'iPhone volé.
Le voleur par contre, peut verrouiller ton Mac, ton iPad, ton AppleWatch voire les effacer.
Sauf omission de ma part, je ne connais aucun autre système aussi peu sécurisé 😳
Le code de de déverrouillage de l’iPhone qui suffit à changer le mot de passe iCloud... je n'en reviens toujours pas 🤦♂️
C'est bien la peine de proposer le chiffrement intégral du compte iCloud ! Le simple code à 6 chiffres de l’iPhone suffit à accéder à tout, simplement en créant un nouveau mot de passe d'accès au compte sans besoin de connaître l'ancien 🥴 c'est vraiment du grand n'importe quoi!
A ceux qui ont activé ce chiffrement, vous pouvez faire des confettis avec cette clé de sécurité qu'Apple vous dit de conserver précieusement dans un coffre à la banque... le simple code à 6 chiffres de votre iPhone peut jouer le même rôle que cette super clé.
@r e m y
+1
@Encoreplusgrincheux
J'imagine (j'espère) que si on a activé le chiffrement, il faut aussi fournir la clé lorsqu'on change le mot de passe. (j'ai la flemme d'essayer pour voir j'avoue…) Mais comme l'option n'est pas activée par défaut, ça n'aidera pas beaucoup de gens.
Nullement.
J'ai activé le chiffrement d'iCloud. Et bien je découvre ce soir avec cet article que je peux changer le mot de passe iCloud juste en saisissant le code à 6 chiffres de mon iPhone. Rien d'autre n'est demandé. ☹️
@r e m y
Eh bien, c'est fort dommage… Ça vaut bien la peine de la part d'Apple de nous demander de conserver précieusement cette clé de déchiffrement… J'espère qu'ils amélioreront un peu les choses suite à la parution de l'article du WSJ. Pour une boîte qui met autant l'accent sur la sécurité des données, c'est plutôt décevant.
@r e m y
Euh… À l’origine tu connais mon code !
Tu sais, celui que je n’utilise plus en public avec Face ID !
Mais bon, une fois de plus Apple, c’est vraiment de la merde.
Ça y est !? J’ai bon ?
Très facile de te forcer à ressaisir ce code (dans une soirée un peu arrosée oú tu es moins vigilant, puisque c'est ce dont on parle ici). Je prends ton iPhone, appui sur "son bas" et "bouton d'allumage" et à l'affichage de "glisser pour éteindre" , cliquer annuler.
L'iPhone revient sur l'écran verrouillé mais il faut taper le code pour réactiver FaceID.
Et quoi qu'il en soit, on apprend par cet article que les compte iCloud, même chiffrés, ne sont en fait protégés que par un code à 6 chiffres... le code de déverrouillage de l'iPhone du propriétaire.
@ r e m y
> Faut lire tout l'article !
> Le voleur de l'iPhone change le mot de passe du compte iCloud (avec le code de déverrouillage qu'il t'a vu taper)
Sauf que ce scénario est peut-être plausible avec un Android où on doit tapper son code régulièrement, voire où il suffit de dessiner un motif facile à capter, mais il est totalement improbable de nos jours où on utilise FaceID ou TouchID.
Ça fait une éternité que je n'ai plus vu personne saisir un mot de passe sur iPhone. Par contre sous Android, j'en vois quasi tous les jours dans le métro.
@Malouin
Ah parce que tu connais beaucoup de systèmes ou tu peux changer un mot de passe sans le connaître ?
Perso je n’ai jamais vu ça. On te demande toujours l’ancien pour le modifier.
@Encoreplusgrincheux
Et bien non
Je vous laisse vérifier aussi bien pour iOS que MacOS
Il suffit d’aller sur les préférences de changement de mot de passe d’iCloud pour qu’il ne demande pas l’ancien …
https://support.apple.com/fr-fr/HT201355
Le mot de passe de l’appareil suffit , ou que la session soit ouverte
@Encoreplusgrincheux
Ou alors, on reçoit un lien de réinitialisation par mail, que le voleur pourrait consulter sur l'appareil qu'il vient de voler… Ce n'est pas si différent.
@Encoreplusgrincheux
Euh… À l’origine tu connais mon code !
Tu sais, celui que je n’utilise plus en public avec Face ID !
@Malouin
Oui bien sur. Mais je ne trouve pas normal que ce code soit Maitre sur celui d’icloud.
A ce moment ca sert a rien d’en avoir un différent. Il y a plus de chances de se faire piquer le code de l’iphone que de se faire peter le compte icloud en force brute.
@Encoreplusgrincheux
Euh… À l’origine tu connais mon code !
Tu sais, celui que je n’utilise plus en public avec Face ID !
Mais bon, une fois de plus Apple, c’est vraiment de la merde.
Ça y est !? J’ai bon ?
Et de deux !
@Malouin
Mais quelle mauvaise foi, juste pour protéger Apple. Ce fanatisme est terrifiant. Faut décrocher.
Justement, l’article explique qu’on peut changer le mot de passe d’iCloud sans le connaître. Donc non le voleur ne connaît pas le code d’iCloud. C’est une faille importante en terme de sécurité.
Qu’il connaisse le code de déverrouillage, c’est assez facile. Suffit de lever la tête dans le métro. Le code est souvent requis : inactivité trop longue, visage masqué, 5 mauvaises reconnaissances. Même Steve Jobs en a été victime en Keynote, c’est dire…
Mais encore une fois connaitre le code de déverrouillage ne devrait pas permettre de changer le code iCloud.
Le code d’accès à mon immeuble ne permet pas de rentrer dans mon appartement et de changer les clés. Si c’était le cas, ça vous choquerait (sauf s’il était construit par Apple apparemment, vous trouveriez ça normal).
@McFlan
« Mais quelle mauvaise foi, juste pour protéger Apple. Ce fanatisme est terrifiant. Faut décrocher. »
En général le terme de fanatique n’est utilisé que par les membres des sectes les plus extrémistes. Et là bingo !
Tu errais dans un supermarché, vivant une existence morne, quand un prêcheur s’est approché de toi, pour te faire connaître la vérité du monde des élus. Et maintenant ta vie est un long combat pour dénoncer les hérétiques pas-comme-toi.
D’un autre coté c’est moins coûteux qu’une thérapie, et cela te donne un sentiment d’appartenance à un groupe social. Toujours mieux que de passer sa soirée devant une rediffusion d’XFiles et une boîte de cassoulet froid.
@IceWizard
Je dénonce un message qui se contente de dire « vous critiquez parce que c’est Apple ». Donc je vous remercie de votre démonstration, qui va dans mon sens.
Maintenant si vous avez des arguments de fond, comme dans mon message, je vous écoute. Là vous avez juste pondu 4 paragraphes d’attaques personnelles.
@McFlan
« Je dénonce un message qui se contente de dire « vous critiquez parce que c’est Apple ». Donc je vous remercie de votre démonstration, qui va dans mon sens. »
Ah ah la mauvaise foi du militant sectaire. Il fait beau à Wacco ?
En fait on ne peut pas nier qu’il existe ton équivalent chez certains utilisateurs Apple. Comme ce type qui a piqué une vraie crise quand j’ai dit que je développais un jeu amateur pour Windows. Et c’est bien normal, les personnes souffrant de troubles de l’identité et désireux d’une appartenance mystico-techno se définissant avant tout par la nature de ses « ennemis » sont toutes les mêmes, toi et lui !
Si tu as à la MAAF, plusieurs consultations chez un spécialiste sont gratuites ! C’est le moment d’en profiter !
@IceWizard
0 argument.
100% attaque personnelle.
C’est à ça qu’on les reconnaît :)
@McFlan
« 0 argument.
100% attaque personnelle.
C’est à ça qu’on les reconnaît :) »
Amusante argumentation. On reconnaît à peine une réponse type de narcissique vexé. Vous êtes légion sur le Net !
@IceWizard
Heu …. Ils a des arguments LUI !
Toi a part la critique tu n’as rien ….
Pages