Déverrouiller son iPhone en public, attention danger !
Apple peut multiplier les mesures de sécurité et de protection des données dans l'iPhone, il demeure toujours un point de fragilité qu'il sera bien difficile d'améliorer : le code numérique ou le mot de passe qui permet de déverrouiller le smartphone. Le Wall Street Journal relate l'expérience malheureuse de plusieurs victimes d'une méthode de vol assez récente qui les dépouille de leurs économies et les prive de l'accès à leur compte iCloud.
Les malandrins se postent dans des bars et font semblant de socialiser avec leurs victimes dans l'espoir de les voir déverrouiller leur iPhone. Durant la soirée, ils demandent par exemple de se rendre sur un réseau social ou de prendre un selfie. Ces interactions renseignent les voleurs sur le code de déverrouillage du smartphone, en toute discrétion. Une fois l'iPhone en leur possession — lorsque la victime est bien alcoolisée ou carrément en versant de la drogue dans son verre —, c'est malheureusement trop tard.
Les escrocs peuvent accéder aux applications bancaires installées sur l'iPhone (PayPal, Venmo…) et ainsi réaliser des transactions à leur profit — ce d'autant qu'ils peuvent aussi piocher dans le trousseau iCloud… Rien ne les empêche de souscrire une Apple Card au nom de l'utilisateur pour siphonner la ligne de crédit. Et le deuxième facteur d'authentification n'est pas non plus une protection puisque les malfaiteurs sont en possession de l'appareil de confiance de l'utilisateur.
Mais avant de mettre le souk dans les comptes bancaires, les pendards changent tout de suite le mot de passe du compte iCloud. La section Mot de passe et sécurité des réglages de l'identifiant Apple permet en effet de le modifier simplement en saisissant non pas le mot de passe du compte, mais simplement le code de déverrouillage du smartphone.
Lorsque la victime s'aperçoit du vol de son iPhone, il est trop tard : son mot de passe ayant été changé à son insu, il lui est impossible de verrouiller l'appareil à distance ou d'activer le mode Perdu dans iCloud.com ou depuis l'app Localiser sur un appareil tiers (lire la fiche d'assistance d'Apple ainsi que la procédure à suivre en cas de perte ou de vol).
Une fois que les voleurs ont bien pressuré l'iPhone, ils peuvent effacer tous les réglages et revendre l'appareil parfaitement fonctionnel à un bon prix. Cette méthode n'implique aucune difficulté technique, elle nécessite simplement une bonne dose d'entregent et un peu d'ingénierie sociale.
Un porte-parole d'Apple a expliqué au WSJ que le système de changement de mot de passe du compte iCloud a été conçu pour aider les utilisateurs ayant perdu le sésame. Ça part d'un bon sentiment mais il y a ici une sécurité à renforcer pour éviter de perdre complètement l'accès à son compte iCloud et aux données qu'il contient. Peut-être faudra-t-il répondre à des questions personnelles en plus du code ?
En théorie, Face ID ou Touch ID peuvent limiter l'interception du code de déverrouillage. Néanmoins, les autorités new-yorkaises ont prévenu que cela n'empêchait pas les voleurs de faire du grabuge dans l'iPhone : ils déverrouillent l'appareil avec la tête ou le doigt de l'utilisateur complètement éméché et inconscient de ce qui se passe ! La mairie recommande même aux fêtards de désactiver la reconnaissance faciale, ce qui nous parait quelque peu inconsidéré.
« Nous compatissons avec les utilisateurs qui ont vécu cette expérience et nous prenons très au sérieux toutes les attaques contre eux, aussi rares soient-elles », déclare ce même porte-parole, qui ajoute que ces actes criminels restent rares car il faut posséder à la fois le code de déverrouillage et l'iPhone. Néanmoins, « nous continuerons à faire progresser les protections pour aider à sécuriser les comptes des utilisateurs ».
En attendant, on peut toujours opter pour un code alphanumérique long (dans les réglages Face ID et code) et couvrir l'écran du smartphone quand on le déverrouille en public. Et mieux vaut éviter de stocker le mot de passe de ses applications bancaires dans le trousseau iCloud, choisissez plutôt une app tierce comme 1Password dont l'accès est verrouillé par un autre mot de passe que le code de déverrouillage de l'iPhone.
Avec les futurs évolution de l'Apple Watch il y aura peut-être moyen de sécuriser un peu plus l'iPhone grâce aux données biométrique de son porteur.
Apple devrait mettre Face Id + « ok » ou autre mot choisi par le peoprio avec detection de la voix.
Mieux : un mot (ni face ni le doigt) que seul le proprio connait queil doit dire avec detection et analyse ;
Même en situation lambda de serait mieux que le doigt et face, plus besoin de l’avoir dans la main (relou..)
L'avantage pour moi qui suis aveugle, pas de Face ID et je tape mon code avec VoiceOver grâce à la saisie braille sur l'écran de l'iPhone: pas de vocalisation des mot de passe, juste un son spécial à chaque caractère tapé.
Mon écran est coupé grâce au rideau d'écran...
Bravo Apple pour cette accessibilité.
Hello.
Je ne comprends pas trop le problème avec les applications bancaires, elles demandent bien toutes de taper un code de 6 ou 8 chiffres, non? On peut enregistrer son identifiant mais c’est tout, non? Tous les paiements effectués en ligne (ou presque, c’et d’ailleurs curieux parfois) avec le numéro de carte bancaire exigent en général une identification par l’application bancaire, y compris si on utilise PayPal en liant son compte à une carte Visa, non?
J’aime bien l’idée que si on me vole mon téléphone, je perds juste un téléphone, pas un moyen de paiement. Je n’utilise donc pas Apple Pay, dont je ne connais pas vraiment le fonctionnement mais pour moi il y a trop de risques. Déjà que j’ai toujours eu du mal à laisser mon numéro de carte bleue chez Apple et d’autres. Et puis si j’activais cette fonction de paiement, j’aurais l’impression de faire mon code de carte bleue à chaque fois que j’ouvre mon iPhone, je ne serais pas tranquille, je n’aurais plus une utilisation sereine de mon téléphone, je me sentirais obligé aussi de désactiver la reconnaissance faciale. Y a-t-il au moins une limite programmée de montant et du nombre de transactions? Le sans contact par carte bancaire au moins limite le montant et le nombre d’opérations.
J’ai résisté autant que j’ai pu à la double identification qui sévit partout et surtout à la liaison entre les appareils, ce n’est malheureusement plus possible sans parler de ces mystérieux codes envoyés parfois et qu’il faut conserver. J’avais bien essayé aussi de garder deux identifiants et deux codes pour ITunes et le reste, mais ça aussi, c’est devenu compliqué, j’y ai renoncé par maladresse.
S’il est si facile de changer le code d’accès d’un compte chez Apple, c’est consternant. A quoi bon vanter le cryptage intégral des liaisons avec ICloud! Bref, ça commence à me gonfler…
non, mon app bancaire ne demande pas de code parce que Face ID est activé. mon paypal aussi parce que relié avec mon compte et pas que la visa. et y a des banques que demandent pas de vérification plus que la carte visa. il t'envoient juste un sms pour te dire que si c'es pas toi qui ait fait le payement, tu peux désactiver ta carte.
@marenostrum
Crédit Agricole tu peux ouvrir l’appli avec faceid mais pas faire d’opérations , il faut le code de l´appli
Stupidité.
Dis Siri, quel est le mot de passe de mon compte Paypal? ;-)
J'ai lu l'article et les commentaires. Il n'y a pas de sécurité parfaite. Le problème est bel et bien l'utilisateur imprudent et accroc à son iPhone même en soirée.
La base de la prudence est l'utilisation restreinte dans les lieux publiques, il en va de même pour l'utilisation du mac en extérieur ou dans un espace de travail partagé (au minimum fermer l'écran quand on s'éloigne même un très bref instant de son appareil.
Si ce scénario m'arrivait je serai le seul coupable.
J'ai appris tout jeune que l'on ne mettait pas son adresse sur un porte clefs pas plus que si l'on oublie de rendre les clefs d'une maison ou d'un appartement on évitait de les renvoyer par la poste !
Apple améliorera certainement la sécurité.
@yngve
> Si ce scénario m'arrivait je serai le seul coupable.
Ben tiens.
Vous vous faites volez la clef de votre maison lors d'une soirée, et vous découvrez après que cette clef est suffisante pour modifier à distance le code de l'alarme qui protège votre maison, mais également celui de votre coffre fort et de vos cartes bancaires : vous diriez que vous êtes le seul coupable ou vous attaqueriez en justice le vendeur de l'alarme, du coffre fort et vos banques pour permettre aussi facilement, à partir d'une seule clef, de modifier les paramètres de sécurités de leurs solutions ?
Vraiment ?
> J'ai appris tout jeune que l'on ne mettait pas son adresse sur un porte clefs pas plus
> que si l'on oublie de rendre les clefs d'une maison ou d'un appartement on évitait de
> les renvoyer par la poste !
Ben justement, ici avoir la clef vous permet d'avoir accès non seulement à l'adresse et d'y rentrer mais d'en modifier les paramètres de sécurité de l'alarme, du coffre fort, des cartes bancaires.
Il ne vous viendrait pas à l'idée d'écrire non plus que la clef de la maison permet, seule, de modifier le code de l'alarme de la maison...
> Apple améliorera certainement la sécurité.
En *remettant* l'exigence d'un second facteur pour pouvoir modifier les paramètres d'authentification d'un compte iCloud.
Ce n'est pas améliorer, c'est restaurer ce qui a été perdu.
Avoir la clef de la maison ne permet absolument pas de déverrouiller l'alarme à moins d'être un gros idiot et de mettre le badge avec les clefs.
@yngve
Je suis absolument d'accord !
Sauf que là, avoir la clé d'entrée dans un iPhone permet de déverrouiller les paramètres de sécurité d'un compte iCloud, ce qui revient dans l'analogie à ce qu'avoir la clé (ou le digicode, tiens, totalement comparable au code de déverrouillage d'un iPhone, un digicode) de la grille d'entrée dans une maison permette de modifier le code de l'alarme qui protège la maison ainsi que celui de votre coffre fort.
Mais merci de confirmer que, en effet, jamais l'équivalent dans le monde réel ça c'est possible. Personne n'est assez idiot pour cela. Déjà parce que les fabricants de serrures de grille, d'alarme et de coffres forts ne sont pas assez idiots pour se partager le même moyen de verrouillage, mais aussi parce qu'aucun client n'accepterait une telle situation, même si on lui dit "mais c'est plus simple pour vous ainsi !".
Mais en ce qui concerne votre compte iCloud, Apple considère que disposer de la clé/digicode de l'entrée dans votre iPhone est suffisant pour permettre de modifier le compte iCloud, alors que celui-ci protège bien plus que la seule entrée dans votre iPhone. Il protège vos autres usages par ailleurs du compte iCloud, qui est un SSO pour rappel, il protège vos données stockées dans iCloud, il protège l'accès à vos moyens de paiement dématérialisés associés à ce compte iCloud...
Sinon il faut avoir un code d’au moins 10 chiffres. Ainsi, pour le malandrin il devient beaucoup plus compliqué (pas impossible) de récupérer le code.
C’est qu’en même la loi de Murphy dans ce cas-là
Et avoir des positions des chiffres qui changent de manière aléatoire, sans feedback visuel mais juste par vibration, c'est possible ?!
Aucune sécurité n'est parfaite, mais, en 2023, on n'est pas obligé de faciliter la lecture d'un code à ce point. Ce n'est pas comme si le clavier était physique, hein, autant en profiter...
Il y a quand même quelque chose qu'il faut dire, c'est que ça me fige que personne ne réagisse dans le bar ou la soirée en question. Genre, quelqu'un met un produit dans ta boisson, personne ne le voit, personne ne réagit ? Ni le barman, ni les serveurs ? Après ils te voient effondré sur ta table ou par terre, pas de souci, personne ne voit, personne ne remarque ? À fortiori en soirée où l'on n'invite pas 15 000 personnes il me semble ?
Mouais, rien de nouveau à l’horizon, il s’agit de l’histoire du compte PIN volé au Bancomat lors de retrait d’argent qu’on a pas pris soin de dissimuler avec l’autre main et après on s’étonne que son compte en banque est vide version 2023. La plupart du temps on ne peut s’en prendre qu’à soi-même. C’est bien évidemment autre chose si les malfrats droguent la victime à son insu, mais ça c’est un délit beaucoup plus grave.
La vidéo dans l’article est du Apple bashing pure. On peut résumer ainsi: „Oh, j’ai tapé mon mot de passe devant un parfait inconnu qui me l’a volé et a foutue en l’air ma vie numérique et vidé mon compte bancaire! Nulle votre sécurité Apple!“
C’est d’un ridicule, la victime est complètement responsable de ses malheurs et s’en prend à autrui. Quant à se faire piquer son mot de passe en état d’ébriété, même chose, on ne peut s’en prendre qu’à soi-même. Les gens sont également flemmards et conservent le code à quatre, voire six chiffres plutôt que de mettre un mot de passe long pour rendre le vol visuel plus difficile.
C’est bien évidemment autre chose si on se fait droguer, comme dit ci-dessus.
Cela dit, Apple pourrait augmenter la sécurité des possesseurs d’Apple Watch en proposant un mode « bar », par exemple, au même titre que « mode théâtre » , qui empêcherait l’iPhone de se déverrouiller même après avoir tapé son code PIN tant qu’on a pas également mis son code sur l’Apple Watch ou quelque chose du style.
Si tu te fais subtiliser ton code PIN au distributeur de billets, au pire on te volera l'équivalent de limite hebdomadaire de retrait d argent car dès le vol de la carte tu auras déclaré le vol et mis la carte en opposition.
Avec le vol du code de l'iPhone, les conséquences sont tout de même d'un tout autre niveau!
Là, tu ne peux même plus bloquer quoi que ce soit, le voleur s'attribuant ton compte iCloud en en changeant le mot de passe.
C'est comme si le PIN de ta carte bancaire permettait de se déclarer officiellement titulaire de tous tes comptes bancaires et en plus de rentrer chez toi en modifiant la serrure de la porte d'entrée pour que toi, tu ne puisses plus y entrer.
Ça mériterait un niveau de sécurité renforcé !
Raison pour laquelle, contrairement à ce qu’Apple nous bassine depuis des années, TouchID est plus sûr que FaceID
Au moins on sait quand on déverrouille l’iPhone
Donc un constructeur vous vend une propriété comme étant la résidence la plus sûre du quartier, avec à l'intérieur une alarme la plus efficace, un coffre fort inviolable car doté d'une technologie d'enclave totalement propriétaire, vous y mettez tous vos biens, vos photos, vos documents, y compris votre titre de propriété et vos moyens de paiement dématérialisés.
Et vous découvrez qu'avec le seul digicode de la grille à l'entrée n'importe qui peut en fait ensuite modifier, sans rien d'autre que ce digitcode de l'entrée, le code de l'alarme, du coffre fort, utiliser vos moyens de paiement dématérialisés sans demande d'aucun code PIN.
Et même revendre la propriété comme s'il en était le véritable propriétaire, tandis que le vrai, vous, n'avez plus aucun moyen de prouver que c'est vous.
Mais l'architecte / constructeur qui a conçu le tout et vendu cela comme plus sûre que les offres concurrentes n'a aucune responsabilité d'après beaucoup ici !?
Franchement, Apple a vraiment la clientèle la plus loyale et docile du monde. On comprend mieux pourquoi ils gagnent autant d'argent. Toutes les qualités sont associées à la marque, tandis qu'une grande partie des défauts sont jetés sur le dos du client.
Et dire que l'argument premier de vente, avant même la sécurité, d'une plateforme plus fermée, c'est de lui déléguer toujours plus de tâches jugées trop complexes et/ou sensibles pour être laissé au soin et surtout au contrôle d'un utilisateur jugé trop peu fiable, afin que sa vie d'utilisateur soit plus simple. Mais quand ce contrôle failli, hop, on rebalance tout sur l'utilisateur à qui 2 secondes plus tôt on expliquait que c'était pour son bien qu'on ne laisse pas plus de contrôle, car le constructeur sait mieux le faire que lui...
Quelle vaste hypocrisie cette attitude.
Ces interactions renseignent les voleurs sur le code de déverrouillage du smartphone, en toute discrétion. Une fois l'iPhone en leur possession
Ah bon, il y a encore beaucoup de gens qui déverrouillent leur iPhone avec un code ? 😳
(smartphone, iphone, il faudrait savoir)
Ben ouais, si vous donnez les clefs de votre voiture et votre voiture à un inconnu, faut pas s'étonner qu'il fasse des bêtises avec.
Cela vaut-il un article ?
plusieurs victimes d'une méthode de vol assez récente
Qu'y a-t-il de récent si ce n'est les appareils eux-même volés et "piratés" ?
Edit.
Je viens seulement de lire le passage suivant :
Néanmoins, les autorités new-yorkaises ont prévenu que cela n'empêchait pas les voleurs de faire du grabuge dans l'iPhone : ils déverrouillent l'appareil avec la tête ou le doigt de l'utilisateur complètement éméché et inconscient de ce qui se passe !
Mouais bon, je serais tenté de dire « tant pis pour eux s'ils sont aussi stupides ».
@marc_os
> Ben ouais, si vous donnez les clefs de votre voiture et votre voiture à un inconnu,
> faut pas s'étonner qu'il fasse des bêtises avec.
> Cela vaut-il un article ?
Non.
Par contre si on découvre qu'avec la seule clé d'une voiture volée le voleur peut également modifier l'alarme de la maison du propriétaire du véhicule et le code PIN de certaines de ces cartes bancaires, là, par contre, p'tet que oui, hein.
Mais comme beaucoup ici, vous vous concentrez sur la responsabilité de la victime dans la façon dont le voleur a pu accéder à la clé et pas du tout sur ce qui pose problème ensuite, l'ampleur de ce que cette clé lui permet de faire ensuite, qui dépasse largement le périmètre de ce que cette clé est censé protéger. C'est un code de déverrouillage d'un smartphone, pas un code de déverrouillage universel de tout ce que vous avez sécurisé derrière un compte iCloud !
Hors cette ampleur là, elle, elle est de la responsabilité d'Apple, par son choix de ne plus demander un autre moyen d'authentification pour permettre de modifier des choses sensibles bien au dela du simple accès à un terminal de sa conception.
Dans le meme genre les voleurs équipés d un appareil spécial n’ont même pas besoin de prendre vos clés pour voler votre voiture , il leur suffit d intercepter le signal entre la voiture et les clés !!! Encore mieux qu Apple.
Ça m énerve quand même de savoir qu’un vol a l arrache de mon téléphone écran non verrouillé permet de mettre le bordel sur tous mes autres appareils qui lui sont reliés par icloud !!!
Pages