Un voleur explique comment il a récupéré des codes de déverrouillage d'iPhone pour dérober 2 millions de dollars
Vous avez un code un peu trop simple sur votre iPhone, comme un code numérique à quatre chiffres ? C'est une mauvaise idée, et nous ne vous l'apprenons probablement pas. Et l'histoire de ce voleur, Aaron Johnson, qui affirme avoir dérobé près de deux millions de dollars, le prouve.
Dans une interview à The Wall Street Journal, il explique sa méthode, très simple : il abordait des gens ivres dans des bars et s'arrangeait pour obtenir le code de déverrouillage de l'iPhone. Il précise que certains le donnaient après un peu de baratin : en proposant de vendre de la drogue via Snapchat (par exemple), il arrivait à avoir le smartphone1 de la personne en main pour ajouter ses coordonnées, et certains lui communiquaient le mot de passe. Dans d'autres cas, il regardait au-dessus de l'épaule de la personne, et retenait le code. Une fois l'iPhone dans les mains, il allait changer le mot de passe du compte Apple, ce qui lui permettait ensuite de désactiver la fonction de localisation. Il indique que c'est très rapide avec un peu d'habitude, et qu'il pouvait ultérieurement ajouter son visage dans Face ID, ce qui donne un accès rapide à de nombreuses applications.
Une fois l'accès à l'iPhone obtenu, il avait visiblement une routine : vérifier la présence d'applications liées aux cryptomonnaies et aux données personnelles parfois simplement stockées dans l'application Notes ou dans des photos (pour les documents d'identité). Après des achats éventuels effectués avec les applications bancaires, il pouvait aussi profiter d'Apple Pay pour se procurer du matériel qu'il revendait directement pour récolter du liquide. Enfin, dès ses méfaits terminés, il effaçait le smartphone et le refourguait à un de ses contacts.
Comment se protéger ?
Deux recommandations semblent basiques : ne laissez pas un inconnu accéder à votre iPhone et ne donnez pas votre mot de passe. Au-delà de ces deux évidences, il faut bien sûr éviter de garder des données personnelles en clair. Dans les Notes, mettez un mot de passe si vous comptez stocker des informations sensibles, différent de celui de l'iPhone. Pour les photos, il est envisageable de les sécuriser un minimum en masquant celles qui contiennent des données privées. Il est aussi bien entendu possible de passer par des solutions différentes, comme les gestionnaires de mot de passe. Enfin, pensez à choisir un mot de passe complet pour l'accès à votre iPhone, plutôt qu'un code à quatre ou six chiffres. Une (longue) phrase sera en effet bien plus compliquée à retenir pour un éventuel voyeur.
Terminons par parler d'une nouveauté qui devrait arriver au début de l'année 2024 avec iOS 17.3 : une fonction qui empêche d'effectuer une partie des tâches présentées ci-dessus quand l'utilisateur n'est pas à son domicile.
iOS 17.3 : Apple ajoute une protection en cas de vol d'iPhone et de son code de déverrouillage
-
Essentiellement des iPhone, pour le prix de revente. ↩︎
Pour la partie faceID et les applications qui permettent de ne pas utiliser le mot de passe de l’application quand faceID fonctionne. J’espère que si faceID est réinitialisé, il faut se réauthentifier dans les applications en question…
@H2Apps
Ça paraît logique mais peut être pas vu qu’en lisant l’article je suis tomber sur le cul !!! Comment Apple permet de changer le mot de passe (fort j’imagine) d’un compte Apple avec un code simple sans demander l’ancien ou une double identification ???
C’est un comble quand je vois maintenant que des Devs optent pour imposer des codes forts pour des comptes sur des sites sans grosses données personnelles genre forum.
La réponse est oui, si vous ajoutez un nouveau visage avec faceId il faut se ré-authentifier dans toutes les applications qui proposent cette authentification.
Du coup les gens devaient donner l'intégralité de leurs mots de passe, pas de quoi vraiment les plaindre...
@Rictusi
Se plaindre est l’activité favorites de beaucoup de gens, et particulièrement de certains lecteurs ici. Cela leur permet d’avoir l’impression d’exister, et même parfois d’être plus intelligents que ceux qui ne se plaignent pas assez à leur goût.
N’essayez pas de leur enlever ça, ils tomberaient en dépression 😉
Plus j’y réfléchis, plus je me dis qu’il y a un truc qui ne tourne pas rond dans la manière dont iOS fonctionne au niveau de la sécurité.
Le système considère qu’un code de 6 chiffres (pas chez tout le monde, mais j’imagine chez la majorité des gens vu que c’est la complexité suggérée par défaut) est le master password d’absolument tout ; il est possible de lock-out quelqu’un de son compte Apple vu qu’on peut reset le mot de passe d’un Apple ID juste en ayant le code à 6 chiffres d’un iPhone, sans même connaître l’ancien mot de passe, c’est de la folie.
En fait à force d’y réfléchir, je crois que j’aimerais deux niveau de sécurité : un « plus cool » pour déverrouiller l’iPhone, qui serait pareil qu’aujourd’hui : Face ID ou le code de l’iPhone.
Et un plus strict pour les opérations sensibles (désactiver Find My, reset de Face ID, accès aux mots de passe, accès aux notes verrouillées, ce genre de trucs), qui autoriserait uniquement l’accès via Face ID / Touch ID, parce qu’il devient évident que la solution biométrique est bien plus secure que le code à 6 chiffres.
Autrement dit, j’aimerais une option pour dire que Face ID est mon master password sur mon iPhone. En attendant, je fais avec un code alphanumérique à 8 caractères, ce qui est pas dingue mais déjà beaucoup mieux que 6 chiffres que n’importe qui peut capter. Mais je ne comprends pas pourquoi Face ID ne pourrait pas jouer le rôle du facteur de sécurité maximum, c’est déjà bien éprouvé comme techno.
@Rez2a
Et le pire, c’est qu’avec la méthode de validation par appareil de confiance, tu reçois une notification sur l’appareil sur lequel tu fais la manip !
J’avais contacté Apple ils ne voyaient pas le problème
oui, ça c'est une aberration.
@moitoutsimplement
Déjà remarqué le problème et en effet c’est une belle faille d’élévation de privilèges
@Rez2a
Le code à 4 ou 6 chiffres, c’est vraiment le choix de la simplification pour le débutant.
Il vaut mieux basculer sur un code mixte (chiffres, caractère spécial, lettre (dont Cap).
Je ne crois pas me souvenir que cette option soit mise en avant au moment de la configuration de l’iPhone.
Cela étant vu l’histoire, il y a de l’ingénierie sociale (il vise les gens bourrés), et visiblement vole leur tel par la suite, pour pouvoir faire ses emplettes).
@xDave
De mémoire il me semble qu’iOS suggère de mettre un code à 6 chiffres par défaut, il faut fouiner dans « plus d’options » pour mettre un code à 4 chiffres ou une chaîne alphanumérique.
Je parie que la plupart des personnes ne savent même pas qu’il est possible de mettre autre chose que 6 chiffres en fait.
@Rez2a
Un Mac ou certains iPad n’ont pas FaceID.
Le master code sert pour valider régulièrement FaceID (et TouchID).
Si le login iCloud était uniquement bio, impossible d’y aller sur un navigateur depuis certains appareils, un Mini par exemple.
@xDave
Ça me paraissait évident que je parlais uniquement du cas des appareils qui avaient un moyen d’ID biométrique, je n’ai jamais parlé de supprimer carrément le mot de passe de l’Apple ID.
@Rez2a
Oui mais :
- il y a le cas où il faut un MDP pour le recovery.
- Le terminal nécessite un MDP.
- Beaucoup d’appli/installer demandent encore un MDP au lieu de l’identification biométrique.
- c’est peu répandu sur le net
Pas demain le 100% bio.
@xDave
Mais vous êtes hors contexte, le souci de base est qu’il est aisé de repérer le code à 4/6 chiffres que tape quelqu’un sur son iPhone au moment de le déverrouiller, et que ce code donne accès à absolument tout sur le téléphone et même plus (ça donne aussi le droit de reset le mot de passe de l’Apple ID, même s’il fait 50 caractères).
Je ne demande pas à ce qu’on passe partout au tout biométrique, juste à ce qu’Apple considère que Face ID est plus difficile à bypasser qu’un code à 6 chiffres sur un iPhone, et agisse en conséquence. Peu importe que le mot de passe de mon Mac reste alphanumérique, y a peu de chances que quelqu’un me voie en train de le rentrer bourré dans un bar.
@Rez2a
Je suis d’accord.
Inconcevable que l’on puisse changer de mot de passe icloud sans mettre l’ancien.
@Encoreplusgrincheux
Il faut investir dans des clé de sécurité type Yubikey 😈
@Rez2a
“le master password d’absolument tout”
Non : il faut y associer l’accès physique à l’iPhone du propriétaire.
Un bon moyen déjà de se prémunir, c’est de faire preuve de modération et de ne pas chercher à acheter de la drogue.
Ce faisant, le gars mentionné ne vient pas vers toi
@moitoutsimplement
Comme tu y vas…
Un bon moyen ne suffit pas, il faut le meilleur moyen : passer la soirée avec ses amis, sans smartphone.
Ou le moyen ultime : ne pas avoir de smartphone.
😁
@DG33
"Ou le moyen ultime : ne pas avoir de smartphone.
😁"
Il y a un moyen encore plus ultime : pour échapper aux risques de la société, il suffit de ne pas faire partie de la société. Vivre en ermite dans les montagnes avec quelques chèvres.
@fte
Tu m’en gardes une ? 😄
@DG33
De chèvre ou de société?
Mes voisins ont des moutons, ça sent moins que les chèvres ;)
J’utilise perso « contenu et confidentialité « dans temps d’ecran.
Je l’active pour l’acces a mon compte et find me avec un autre identifiant à 4 chiffrés évidemment.
Meme si il capte mon code de déverrouillage, il ne pourra modifier mes infos qui sont inaccessible sans ce second code.
C’est simple et cela est très sécurisant.
vous êtes vraiment sur d'utiliser "contenu et confidentialité" ? j'ai encore un doute ;)
D'après l'article "UN VOLEUR EXPLIQUE COMMENT IL A RÉCUPÉRÉ DES CODES DE DÉVERROUILLAGE D'IPHONE POUR DÉROBER 2 MILLIONS DE DOLLARS" on voudrait faire croire qu'il s'agit d'un problème de l'iPhone...
Il faudrait plutôt mettre "UN VOLEUR EXPLIQUE COMMENT IL A RÉCUPÉRÉ DES CODES DE DÉVERROUILLAGE D'UN SMARTPHONE POUR DÉROBER 2 MILLIONS DE DOLLARS", non ?
N'importe quel téléphone dit "intelligent" peut être concerné, non ?
avec vous au titre, j'aurais jamais lu et j'aurais été blasé des médias
alors que là, WAHOUUn QUEUAH?! 2 millions ! Par un ZIPHON ?! de ZApple ?! Mais ZE lis tout de suite ! que les médias sont passionnants!
:)
(après, on sait bien que les médias attachent de l'importance selon ce qu'on sait que le public aime déjà , et ici c'est le coeur de métier de MacG de rapporter ce qui tourne autour d'Apple. C'est la vie...)
Pour désactiver « find my » il faut le mot de passe de l’Apple ID.
Apple est responsable d’un truc qui pour moi s’apparente à un défaut de conception : depuis un iDevice, le simple code de l’iPhone permet de changer le mot de passe de l’Apple ID alors que ce dernier ouvre l’accès à des données ultra critique.
Je ne comprends pas pourquoi Apple ne double pas la vérification avec l’actuel mot de passe de l’AppleID, alors qu’il me casse les pieds avec un code de sécurité à chaque fois que j’utilise « Connexion avec Apple »…
Temps d’écran permet de désactiver la modification des comptes. Temps d’écran est protégé par un mot de passe différent.
C’est simple, peu contraignant au quotidien et ça rends la combine décrite impossible.
@Jymini
Encore faut-il savoir que ça existe, parceque planquer ce genre de mécanismes derrière « Temps d’écran » plutôt que dans, je sais pas, « Confidentialité et sécurité », c’est quand même complètement stupide et Apple est 100% responsable.
@Rez2a
"Encore faut-il savoir que ça existe, parceque planquer ce genre de mécanismes derrière « Temps d’écran » plutôt que dans, je sais pas, « Confidentialité et sécurité », c’est quand même complètement stupide et Apple est 100% responsable."
Tu m’étonnes je viens de découvrir la fonction grâce à lui!!!
C’est cool que l’option existe, je vais l’activer illico, mais pour la découvrir bonjour…
@Jymini
Exact, je voulais l’écrire, vous l’avez très bien mentionné 👍
@Jymini
C’est vachement intuitif ça dis donc.
@Jymini
Merci 🙏
@Jymini
Génial, merci. Effectivement, faut le savoir…
Combien d’entre-nous, sensibilisés au moins aux règles de base de la sécurité informatique, sont entourés de proches qui vous disent des choses comme, « Pourquoi se préoccuper d’avoir des mots de passe non réutilisés? Qui va me pirater ? Etc. » et qui se réveillent un jour piratés en vous demandant de les aider alors qu’il est alors trop tard?
@Fennec72
Oui, le fameux : « De toute façon je n’ai rien a cacher. »
@Horfilas
Ils oublient souvent la valeur de leurs données personnelles pour le marketing et ne pensent pas qu’avoir, par exemple, son mot de passe de boîte mail utilisé comme mot de passe d’un compte e-commerce utilisant l’e-mail comme nom d’utilisateur est une gigantesque connerie!
C’est un peu comme dans la vraie vie.
Et sinon, confirmer l’ancien mot de passe de l’identifiant Apple avant de pouvoir en créer un nouveau ? C’est trop compliqué pour les ingénieurs de Cupertino de développer cela ?
@Horfilas
"C’est trop compliqué pour les ingénieurs de Cupertino de développer cela ?"
Le problème n’est pas la complexité. Le problème est qu’Apple a des lacunes monumentale dans sa culture sécurité, dit poliment, et franchement, j’ai bien du mal à le dire poliment.
@Horfilas
Chaque fois que je vais voir mon père (1 a 2 fois pr an), il me demande de réinitialiser son mot de passe Apple. Il les perds sans arret..
J’ai un iPhone 7, avec TouchID. Ça m’arrive très rarement de devoir entrer mon code, c’est d’ailleurs à peine si je m’en souviens.
« il explique sa méthode, très simple : il abordait des gens ivres dans des bars et s'arrangeait pour obtenir le code de déverrouillage de l'iPhone. »
😳
C’est sur que le problème vient de la sécurité du téléphone, et vraiment pas du fait que quelqu’un mettre sa vie entière dans un téléphone puis en donne le code à l’imparfait inconnu…
D’autant que depuis faceId perso je ne tape plus jamais le code sur mon téléphone, surtout en public !
@Yves SG Arrêtez de constamment trouver des excuses à Apple ! C’est usant ! C’est un vrai soucis et il y a plusieurs moyen de s’en prémunir, en utilisant par example screen time et verrouiller tout changement de mot de passe iCloud ou de tête Face ID meme si on a récupéré le pin/passcode
@clapouli
Il ne s’agit pas de trouver une excuse à qui que ce soit, mais de se questionner sur les pratiques à adopter en terme de sécurité.
Si vous donnez votre code de carte bancaire à un parfait inconnue et qu’il retire du cash au distributeur après vous avoir dérobé votre porte monnaie vous allez mettre ça sur le dos de la négligence de votre banque 🤷🏼♂️ ?
@Yves SG on est d’accord sur ce point, je dis juste qu’il y a un vrai soucis de sécurité si on arrive à avoir votre PIN. Ça arrive souvent de le taper si faceID n’a pas fonctionné. À partir de la, les conséquences en cascades sont énormes si on vous vole votre téléphone à l’arrachée juste après avoir vu votre code…
@clapouli
Je n’avais pourtant pas l’impression que le FBI trouvait que les iPhone étaient particulièrement faciles à utiliser sans l’accord de leurs propriétaires, en tout cas pas plus facile que les appareils Android. Mais je me trompe peut-être ?
@Yves SG
Non le FBI débloque des iPhones sans code connu au moyen de logiciels sophistiqués utilisant des vulnérabilités non connues …. Le problème du PIN concerne les petits vols à l’arrachée … si on voit le code d’une personne et qu’on lui pique son téléphone, on peut réinitialiser son faceID et la sortir de son compte iCloud dans un premier temps, dans un deuxième temps, la dépouiller par ses application de comptes bancaires
@encoreplusgrincheux
> Inconcevable que l’on puisse changer de mot de passe icloud sans mettre l’ancien
Donc selon toi , la fonction "mot de passe oublié " ne devrait pas exister ? Tu oublies ton mdp icloud et tu n’as plus jamais accès à tes données ?
@sergiobzh
> Donc selon toi , la fonction "mot de passe oublié " ne devrait pas exister ?
Si, elle reste necessaire.
Mais cette fonction ne devrait pas être possible sans *aucun* autre facteur de vérification complémentaire. Avoir l'appareil déverrouillé n'est pas un facteur suffisant pour permettre une telle modification vu les conséquences qui s'en suivent. Un second facteur, parmi différents possibles, doit être exigé également.
Pages