Un voleur explique comment il a récupéré des codes de déverrouillage d'iPhone pour dérober 2 millions de dollars
Vous avez un code un peu trop simple sur votre iPhone, comme un code numérique à quatre chiffres ? C'est une mauvaise idée, et nous ne vous l'apprenons probablement pas. Et l'histoire de ce voleur, Aaron Johnson, qui affirme avoir dérobé près de deux millions de dollars, le prouve.
Dans une interview à The Wall Street Journal, il explique sa méthode, très simple : il abordait des gens ivres dans des bars et s'arrangeait pour obtenir le code de déverrouillage de l'iPhone. Il précise que certains le donnaient après un peu de baratin : en proposant de vendre de la drogue via Snapchat (par exemple), il arrivait à avoir le smartphone1 de la personne en main pour ajouter ses coordonnées, et certains lui communiquaient le mot de passe. Dans d'autres cas, il regardait au-dessus de l'épaule de la personne, et retenait le code. Une fois l'iPhone dans les mains, il allait changer le mot de passe du compte Apple, ce qui lui permettait ensuite de désactiver la fonction de localisation. Il indique que c'est très rapide avec un peu d'habitude, et qu'il pouvait ultérieurement ajouter son visage dans Face ID, ce qui donne un accès rapide à de nombreuses applications.
Une fois l'accès à l'iPhone obtenu, il avait visiblement une routine : vérifier la présence d'applications liées aux cryptomonnaies et aux données personnelles parfois simplement stockées dans l'application Notes ou dans des photos (pour les documents d'identité). Après des achats éventuels effectués avec les applications bancaires, il pouvait aussi profiter d'Apple Pay pour se procurer du matériel qu'il revendait directement pour récolter du liquide. Enfin, dès ses méfaits terminés, il effaçait le smartphone et le refourguait à un de ses contacts.
Comment se protéger ?
Deux recommandations semblent basiques : ne laissez pas un inconnu accéder à votre iPhone et ne donnez pas votre mot de passe. Au-delà de ces deux évidences, il faut bien sûr éviter de garder des données personnelles en clair. Dans les Notes, mettez un mot de passe si vous comptez stocker des informations sensibles, différent de celui de l'iPhone. Pour les photos, il est envisageable de les sécuriser un minimum en masquant celles qui contiennent des données privées. Il est aussi bien entendu possible de passer par des solutions différentes, comme les gestionnaires de mot de passe. Enfin, pensez à choisir un mot de passe complet pour l'accès à votre iPhone, plutôt qu'un code à quatre ou six chiffres. Une (longue) phrase sera en effet bien plus compliquée à retenir pour un éventuel voyeur.
Terminons par parler d'une nouveauté qui devrait arriver au début de l'année 2024 avec iOS 17.3 : une fonction qui empêche d'effectuer une partie des tâches présentées ci-dessus quand l'utilisateur n'est pas à son domicile.
iOS 17.3 : Apple ajoute une protection en cas de vol d'iPhone et de son code de déverrouillage
-
Essentiellement des iPhone, pour le prix de revente. ↩︎
Comme dit plus haut par BeigeConstitutional, la meilleure option à date semble l’utilisation de temps d’écran qui permet de verrouiller l’accès à la modification de ton compte (l’option avec ta photo est grisée) et de ton code (l’option disparaît de réglages) par un code à 4 chiffres.
Ce code de Temps d’écran ne s’utilise que rarement et surtout pas dans un bar 😅 donc même avec le code de ton iPhone à 6 chiffres subtilisé, le chenapan ne pourra pas aller plus loin.
Ensuite, j’utilise par exemple Bitwarden pour les mdp et pour déverrouiller l’app, c’est le mdp maître ou Faceid, pas le code à 6 chiffres de l’iPhone.
@thesupertimal
Tout pareil !
Vous le tapez souvent votre code en dehors de chez vous 🤔?
Moi jamais, FaceId faisant plutôt bien le boulot 👍🏻!
@Gromeul
Pour ma part oui, faceID ne déverrouille pas mon téléphone :
Si la lumière ambiante est trop faible
Si j’ai de la buée sur les lunettes
Si j’ai rechargé un peu longuement mon téléphone au bureau
Chaque matin dans les transports si je n’ai pas consulté mon téléphone entre le réveil et le départ
J’ai l’impression de saisir ce code sans arrêt, par exaspération j’avoue être passé à un code à 4 chiffres. 🤫
@Pliscal
Ce n’est pas d’bol, je n’ai que très rarement à faire mon code étant pourtant porteur de lunettes qui se teintent.
Bon, je suis chauve, ça aide sûrement un peu 😋… Mais même avec une casquette Faceid fonctionne sans soucis.
@Gromeul
Idem, et ce depuis le début et idem pour tous les iPhones de la famille.
Du coup non seulement je ne comprends toujours pas pourquoi certains tapent leur code à longueur de journée, mais surtout ceux qui le font de manière qui puisse être vu par un tiers (et sans parler de ceux qui le donnent carrément à un inconnu…)
C'est vraiment étrange, je ne le tape qu'en cas de redémarrage (iPhone 13 Pro) et rarement de ma propre initiative. Même la nuit dans le lit, faceID fonctionne
Article le plus intéressant de l'année mais qui passera sous le nez des futures victimes...
Tout ça n'est pas très rassurant.
La raison pour laquelle Apple a fait ce choix est simple (pouvoir réinitialiser le mot de passe du compte iCloud, en utilisant simplement le mot de passe du téléphone) : beaucoup de gens ne savent pas gérer leurs mots de passe et la sécurité de leur téléphone.
L’oubli du mot de passe iCloud est fréquent, et les gens en question se retrouvaient t bloqués, avec appel au centre d’assistance, difficultés au moment de vendre le téléphone, etc.
Ceci dit, je suis d’accord, c’est un vrai problème. Je l’ai moi aussi réglé en utilisant Temps d’écran.
La sécurité offerte par FaceId est mauvaise : si quelqu’un vous pique votre tel, attend quelque minutes puis vous tapote sur l’épaule, vous vous retournez, et s’il vous présente le téléphone vous le regardez et hop, il est déverrouillé. Touch Id est bien mieux de ce point de vue.
Pour ceux qui n’auraient pas bien compris comment faire avec Temps d’écran :
- aller dans Temps d’écran et Verrouiller les réglages temps d’écran avec un code ; ne pas entrer de code de secours iCloud ! (Mais attention, il ne faudra pas oublier le code temps d’écran ! Je recommande d’utiliser un gestionnaire de mot de passe où le noter)
- aller dans Contenu et confidentialité et activer les restrictions
- Service de localisation : n’autoriser aucun changement
- Modification de compte : n’autoriser aucun changement
- Modification de code : n’autoriser aucun changement (attention, l’option ne sera plus visible dans les préférences)
Que l'écran de saisie d'un master code en 2023 continue de placer les numéros dans la même position et avec un feedback lorsqu'ils sont sélectionnés par l'utilisateur est selon moi indigne d'une entreprise qui se dit leader en terme de sécurité sur ses appareils.
Rien que déjà ça c'est une faille béante ridicule, alors qu'elle est très facile à réduire.
[duplicata]
Pages