Apple Pay : une campagne de phishing frappe les Etats-Unis

Forcément, le succès d’Apple Pay est au cœur des convoitises. Une campagne de phishing à assez grande échelle est actuellement en cours aux États-Unis, et il ne fait guère de doute que des opérations similaires finiront bien par arriver en France.

Un mécanisme bien huilé derrière une forme encore assez grossière

Si, au premier coup d’œil, les courriels envoyés peuvent paraître rudimentaires — le fameux « Bonjour Nom » trahit vite l'automatisme — la mécanique psychologique, elle, est redoutablement efficace. Le scénario est rodé : un message vous informe qu'une transaction Apple Pay importante a été bloquée, qu'un rendez-vous en Apple Store a été programmé à votre insu, ou qu'une activité suspecte a été détectée sur votre compte.

L’objectif est limpide : instaurer un sentiment d’urgence pour vous pousser à l’erreur. Les escrocs ne cherchent pas ici une faille technique dans iOS, mais une faille humaine.

Le piège du faux support technique

Contrairement aux arnaques classiques qui vous redirigent vers un site miroir, cette campagne mise sur le contact humain. Les mails affichent des numéros de téléphone à appeler d'urgence. Au bout du fil, ce ne sont pas les conseillers de Cupertino qui vous répondent, mais des opérateurs entraînés pour vous soutirer votre identifiant Apple, vos codes de validation ou vos coordonnées bancaires.

Certains détails ne trompent pourtant pas :

• L'expéditeur : l’adresse mail ne provient pas d'un domaine officiel Apple, même si le nom d'affichage tente de faire illusion.
• La forme : on retrouve souvent des adresses IP fantaisistes et des formulations maladroites comme le classique « Bonjour Nom ».
• Le numéro de téléphone : une recherche rapide sur le web montre souvent que le numéro renvoie vers des pages totalement étrangères à Apple (santé publique, services d'aide divers). Les numéros de l'assistance officielle, eux, sont toujours liés aux domaines et pages d'aide d'Apple.

Comment ne pas mordre à l'hameçon

Si cette campagne cible pour l'instant le marché américain, elle rappelle que la vigilance reste le meilleur pare-feu. Pour éviter de se faire piéger le jour où ces méthodes seront adaptées à l'Hexagone, quelques réflexes de base s'imposent. Une règle d'or à graver dans le marbre : Apple n’organise jamais de « rendez-vous pour fraude » par courriel et ne vous demandera jamais de résoudre un problème de facturation en appelant un numéro de téléphone glissé dans un message non sollicité.

Face à une missive alarmiste, la marche à suivre est universelle :

• Ne touchez à rien : Ni lien, ni pièce jointe, et n'appelez aucun numéro. Le but de l'assaillant est de vous sortir de l'écosystème sécurisé d'Apple.
• Vérifiez à la source : Ne vous fiez jamais au contenu du mail. Consultez votre historique d'achats directement. Si une transaction pose réellement problème, elle y sera indiquée.
• Signalez et balayez : Transférez le courrier suspect à l'adresse dédiée (reportphishing@apple.com), puis supprimez-le.

En définitive, le scepticisme reste votre meilleure arme. Un message qui joue sur l'urgence ou la peur est, dans 99 % des cas, une tentative d'escroquerie. Couplé à l'authentification à deux facteurs, ce bon sens reste le rempart le plus efficace contre les convoitises qui entourent Apple Pay.