Une fonctionnalit iPhone de base peut aider les criminels voler toute votre vie numrique. Le code d’accs qui dverrouille votre tlphone peut permettre aux voleurs d’accder votre argent et vos donnes. C’est ce qu’a dcouvert une femme a ses dpends qui a dclar que peu de temps aprs le vol de son iPhone 13 Pro Max, elle n’avait plus accs son compte Apple. Reyhan Ayas a dclar qu’Apple n’tait pas du tout utile aprs que 10 000 dollars aient t prlevs sur son compte bancaire.
Alex Argiro, qui tait dtective du NYPD avant de prendre sa retraite en 2022, a dclar qu’il y avait eu des centaines de crimes similaires commis New York au cours des deux dernires annes : Une fois que vous entrez dans le tlphone, c’est comme une bote au trsor .
Reyhan Ayas quittait un bar de Manhattan en novembre lorsqu’un homme lui a arrach son tlphone et s’est enfui. En quelques minutes, la femme de 31 ans, conomiste senior Revelio Labs, une start-up d’intelligence de la main-d’uvre, n’a plus pu accder son compte Apple et tout ce qui s’y rattache, y compris des photos, des contacts et des notes.
Dans une interview, Ayas a dclar qu’elle se tenait devant le bar lorsqu’un homme lui a vol son iPhone 13 Pro Max. Elle croit qu’il l’avait vue entrer son mot de passe un moment donn et avait attendu l’occasion de voler son appareil.
La femme de 31 ans a dclar avoir emprunt un autre iPhone pour essayer de localiser le sien l’aide de la fonction « Find My iPhone ». Cependant, Ayas a dclar qu’elle avait dj t jecte de son compte Apple ce moment-l. Je ne savais pas ce qui se passait , a-t-elle dclar.
Elle a dpos plainte dans un commissariat le lendemain et a montr des notifications de demande de rinitialisation de mot de passe et des informations de connexion aprs le vol de son appareil.
Parce qu’elle avait perdu l’accs son compte Apple, elle n’a pas pu se connecter son ordinateur MacBook. Elle a contact le support Apple, qui lui a conseill de se procurer une nouvelle carte SIM et un nouvel iPhone. Elle l’a fait, mais n’a toujours pas pu accder son compte.
Au cours des 24 heures suivantes, environ 10 000 dollars ont t prlevs de son compte bancaire, selon un relev bancaire consult par le mdia qui l’a interview. Il lui a t conseill d’ouvrir un nouveau compte et d’y transfrer tous ses fonds.
Alors qu’elle visitait un Apple Store la recherche d’une assistance, Ayas a dclar avoir reu un e-mail de Credit Karma montrant une demande de carte de crdit Apple. Un autre e-mail lui a indiqu que la demande avait t approuve alors qu’elle tait en attente avec le support de la carte Apple.
L’quipe de soutien n’a pas t utile du tout , a dclar Ayas. Elle a ensuite appel Goldman Sachs, qui met les cartes de crdit d’Apple, et a pu obtenir de l’aide.
Ayas a dit qu’elle tait trs frustre par Apple qui demandait continuellement : Avez-vous essay ‘Find My iPhone ?’ . Bien sr, j’ai essay, peut-tre trois minutes aprs [ndlr. le vol de mon tlphone], je l’ai essay. On dirait que c’est une blague pour vous. Ma vie entire est un gchis, mais vous me demandez toujours si je l’ai essay , a-t-elle dclar avoir rpondu.
Lors de sa dernire conversation avec un reprsentant d’Apple, le reprsentant a dclar Ayas qu’il n’y avait aucun moyen de retrouver l’accs son compte iCloud.
Apple est trs fier d’tre de son environnement de scurit ferm. Mais ils parlent rarement du fait que si un intrus pntre cet environnement de scurit ferm, il devient alors galement ferm aux personnes qui possdent le compte , a dclar Ayas. Cela peut absolument se retourner contre vous .
Une situation loin d’tre isole
Des histoires similaires s’accumulent dans les postes de police du pays. Les auteurs de ces mfaits utilisent une astuce remarquablement low-tech : ils regardent les propritaires d’iPhone taper leurs codes d’accs, puis volent leurs tlphones et ont le champ libre. Les voleurs exploitent une simple vulnrabilit dans la conception logicielle de plus d’un milliard d’iPhones actifs dans le monde. Il se concentre sur le mot de passe, la courte chane de chiffres qui permet d’accder un appareil*; et les mots de passe, gnralement des combinaisons alphanumriques plus longues qui servent de connexion pour diffrents comptes.
Une fois qu’un tiers parvient mettre la main sur le mot de passe, il peut en quelques secondes changer le mot de passe associ l’identifiant Apple du propritaire de l’iPhone. Cela empcherait la victime d’accder son compte, qui comprend tout ce qui est stock dans iCloud. Le voleur peut aussi souvent piller les applications financires du tlphone puisque le mot de passe peut dverrouiller l’accs tous les mots de passe stocks de l’appareil.
Une fois que vous entrez dans le tlphone, c’est comme une bote au trsor , a dclar Alex Argiro, qui a enqut sur un rseau de vol trs mdiatis en tant que dtective du dpartement de police de New York avant de prendre sa retraite l’automne dernier. Il a dit qu’il y avait eu des centaines de crimes de ce genre dans la ville au cours des deux dernires annes. Et cela va en augmentant , a-t-il dclar. C’est un crime tellement opportuniste. Tout le monde a des applications financires .
Apple Inc. s’est prsent comme le leader de la confidentialit et de la scurit numriques, vendant son matriel, ses logiciels et ses services Web iCloud troitement intgrs comme la meilleure protection pour les donnes de ses clients. Les chercheurs en scurit conviennent que l’iPhone est l’appareil mobile grand public le plus scuris, et nous travaillons sans relche chaque jour pour protger tous nos utilisateurs contre les menaces nouvelles et mergentes , a dclar une porte-parole d’Apple.
Notre sympathie va droit aux utilisateurs qui ont vcu cette exprience et nous prenons trs au srieux toutes les attaques contre nos utilisateurs, aussi rares soient-elles , a-t-elle dclar, ajoutant que la socit estime que ces crimes sont rares car ils ncessitent le vol de l’appareil et du mot de passe. Nous continuerons faire progresser les protections pour aider scuriser les comptes des utilisateurs .
Un examen de la rcente vague de vols rvle une possible lacune dans l’armure d’Apple. Les dfenses de l’entreprise sont conues autour de scnarios d’attaque courants*: le pirate sur Internet qui tente d’utiliser les identifiants de connexion d’une personne, ou le voleur dans la rue qui cherche s’emparer d’un iPhone pour une vente rapide.
Ils ne tiennent pas ncessairement compte du brouillard d’une scne de bar nocturne pleine de jeunes, o les prdateurs se lient d’amiti avec leurs victimes et les poussent rvler leurs codes d’accs. Une fois que les voleurs possdent la fois le code d’accs et le tlphone, ils peuvent exploiter une fonctionnalit qu’Apple a intentionnellement conue comme une commodit : permettre aux clients oublieux d’utiliser leur code d’accs pour rinitialiser le mot de passe du compte Apple.
Ce n’tait qu’une question de temps avant qu’un attaquant n’utilise le shoulder surfing ou l’ingnierie sociale », a dclar Adam Aviv, professeur agrg d’informatique l’Universit George Washington. S’appuyer sur un tlphone comme appareil de confiance choue dans de tels cas, a-t-il ajout. Le shoulder surfing est une technique consistant drober des informations secrtes ou confidentiels dune personne en regardant par dessus lpaule de celle-ci. Par exemple, une des fraudes les plus communes est le clonage par distraction, aussi appele le shoulder surfing : la caisse d’un commerce, le voleur relve le numro d’identification personnel (NIP) du client devant lui, en regardant par-dessus son paule alors que ce dernier paie avec sa carte
Anatomie de l’attaque : le voleur vous regarde taper votre mot de passe, puis vole votre iPhone. Avec l’appareil et le code d’accs, le voleur peut alors faire ceci…
Le vol
Toutes les victimes interroges par le Wall Street Journal ont dclar que leurs iPhones avaient t vols alors qu’elles taient en train de parler sur les rseaux sociaux la nuit. Certains ont dit que les tlphones leur avaient t arrachs des mains par quelqu’un qu’ils venaient de rencontrer. D’autres ont dclar avoir t agresss physiquement et intimids pour qu’ils remettent leurs tlphones et leurs codes d’accs. Quelques-uns ont dit qu’ils croyaient avoir t drogus. Ils se sont rveills le lendemain matin sans leurs tlphones, sans aucun souvenir de la nuit prcdente.
Dans tous les cas, les propritaires d’iPhone ont t jects de leurs comptes Apple. Ils ont ensuite dcouvert des milliers de dollars de vols financiers, y compris une combinaison de frais Apple Pay, des comptes bancaires puiss lis des applications tlphoniques et de l’argent prlev sur Venmo de PayPal Holdings Inc. et d’autres applications d’envoi d’argent.
Une vulnrabilit similaire existe dans le systme d’exploitation mobile Android de Google. Cependant, la valeur de revente plus leve des iPhones en fait une cible beaucoup plus courante, selon les responsables des forces de l’ordre. Nos politiques de connexion et de rcupration de compte tentent de trouver un quilibre entre permettre aux utilisateurs lgitimes de conserver l’accs leurs comptes dans des scnarios rels et empcher les mauvais acteurs d’entrer , a dclar un porte-parole de Google.
Le soir du 22 janvier 2022, Reece Thompson, directeur artistique d’une agence de cration Hiawatha, Iowa, prenait un verre avec sa petite amie alors qu’il visitait le centre-ville de Minneapolis lorsque son iPhone 12 Pro a disparu du bar. Le lendemain matin, lorsqu’il a tent de se connecter son compte Apple partir d’un autre appareil, le mot de passe du compte avait t modifi. Des milliers de dollars avaient t dbits de ses cartes de crdit via Apple Pay et 1 500 dollars avaient t vols sur son compte Venmo, a-t-il dclar.
Les procureurs du Minnesota affirment que Thompson, g de 42 ans, a t victime d’un rseau de voleurs qui a accumul prs de 300 000 dollars en volant des iPhones et leurs codes d’accs au moins 40 victimes. Le groupe a cibl les amateurs de bar avec des smartphones Apple, a rapidement pill les comptes accessibles via ces appareils, puis a revendu les tlphones, selon le mandat d’arrt d’un membre du rseau prsum, Alfonze Stuckey. Stuckey a depuis plaid coupable un chef de racket et a t condamn 57 mois de prison. Onze autres suspects ont t accuss de racket dans cette affaire.
Des groupes de deux ou trois voleurs allaient dans un bar et se liaient d’amiti avec les victimes, leur demandant souvent d’ouvrir Snapchat ou une autre plate-forme de mdias sociaux, a dclar le Sgt. Robert Illetschko, l’enquteur principal sur l’affaire. Au cours de cette interaction, ils essaieraient d’observer la victime dverrouiller l’iPhone avec le mot de passe, a-t-il dclar. S’ils n’avaient pas saisi le code d’accs au dbut, ils auraient peut-tre essay de demander la victime de leur remettre le tlphone pour une photo, puis de l’teindre subtilement avant de le rendre, a-t-il ajout. Aprs le redmarrage d’un iPhone, un mot de passe est requis pour le dverrouiller.
C’est aussi simple que de regarder cette personne taper plusieurs reprises son code d’accs dans le tlphone , a dclar le Sgt. Illetschko, ajoutant que parfois les voleurs filmaient secrtement les victimes afin qu’ils puissent tre srs d’avoir saisi la bonne squence. Il y a beaucoup d’astuces pour amener la personne entrer le code .
Des cas similaires ont t signals Austin, Denver, Boston et Londres.
New York, l’une des premires informations que la police a reues sur l’ampleur de cette nouvelle vague de criminalit a pris la forme d’un dcs inexpliqu.
Le vendredi 27 mai, lors d’une visite de Washington, D.C., John Umberger est sorti pour la nuit Manhattan, terminant la soire dans un bar du quartier de Hell’s Kitchen. Cinq jours plus tard, le directeur de la diplomatie et des programmes politiques de l’American Center for Law and Justice, g de 33 ans, a t retrouv mort dans l’appartement o il rsidait, avec un portefeuille vid et pas d’iPhone.
Au dbut, la police a souponn qu’il s’agissait d’une surdose de drogue de routine. Ensuite, sa famille a dcouvert que des milliers de dollars avaient t prlevs de ses comptes bancaires, PayPal et Venmo, ainsi que des frais de carte de crdit suspects, selon la mre d’Umberger, Linda Clary. Elle pense que le mot de passe du compte Apple de son fils a t modifi.
Argiro, le dtective de New York qui a particip l’enqute sur la mort d’Umberger avant de prendre sa retraite en septembre, a dclar que les autorits en taient venues croire qu’il tait victime d’un groupe de voleurs qui ciblent les barmans de New York, blanchissent de l’argent via des applications. puis revendre les tlphones. Ce groupe particulier serait responsable de plus de 30 incidents, a-t-il ajout.
Le bureau du procureur du district de Manhattan est en train de monter un dossier prsenter devant un grand jury, selon des personnes proches de l’enqute.
La mthode
En thorie, les innovations rcentes d’Apple en matire de scurit devraient liminer la vulnrabilit d’un mot de passe intercept. La porte-parole d’Apple a indiqu que Face ID et Touch ID taient des moyens qui limiteraient la ncessit de saisir un mot de passe.
Pourtant, New York, certaines autorits ont suggr Face ID comme point d’entre possible dans les tlphones. L’Office of Nightlife de la ville, une liaison entre la mairie et l’industrie htelire, a accueilli un confrencier qui a recommand aux amateurs de bar de dsactiver la reconnaissance faciale, sur la thorie selon laquelle le visage d’une personne incapable pourrait tre utilis par les voleurs.
Une violation du code d’accs est le scnario le plus probable, selon les rapports du Journal et les tests sur l’appareil. Pour changer le mot de passe de l’identifiant Apple de quelqu’un sur un iPhone, un scan du visage ne suffit pas : un mot de passe est ncessaire. Lorsque le changement de mot de passe est termin, le logiciel offre une option pour forcer d’autres appareils Apple, tels que les Mac ou les iPad, se dconnecter du compte Apple, afin qu’une victime ne puisse pas se tourner vers ces appareils pour retrouver l’accs. Le logiciel ne demande jamais l’utilisateur d’entrer un ancien mot de passe avant d’en dfinir un nouveau. Les journalistes du Journal ont pu faire tout cela en moins d’une minute.
Une porte-parole d’Apple a dclar que le systme est conu pour aider les utilisateurs qui ont oubli le mot de passe de leur compte. Elle a ajout que cela ncessite deux facteurs, l’appareil physique ainsi que le code d’accs de l’appareil.
Avec le nouveau mot de passe, le voleur peut dsactiver Find My iPhone, ce qui permettrait autrement aux victimes de localiser leurs tlphones et mme de les effacer distance pour protger leurs donnes. La dsactivation de Localiser mon iPhone permet galement au voleur de revendre l’iPhone.
Apple a rcemment introduit la possibilit d’utiliser des cls de scurit matrielles, de petits dongles USB, pour protger l’identifiant Apple. Lors des tests du Journal, les cls de scurit n’ont pas empch les changements de compte en utilisant uniquement le mot de passe, et le mot de passe pouvait mme tre utilis pour supprimer les cls de scurit du compte.
Source : WSJ
Et vous ?
Quelle lecture faites-vous de ces situations ?
Avez-vous vcu, directement ou indirectement, des situations similaires ? Partagez votre vcu.
Face ceci, est-il alors prudent de garder ses informations bancaires sur son mobile ? Dans quelle mesure ?