Apple : comment des voleurs d’iPhone suppriment des années de souvenirs

 

Des voleurs d'iPhone utilisent la fonction de sécurité « clé de secours » pour bloquer la localisation des smartphones. Problème : cela bloque aussi les comptes Apple des propriétaires volés. De quoi perdre ses photos, ses mails, ses fichiers, et surtout ses souvenirs.

Le module photo de l'iPhone 14 Pro Max pour illustration
Le module photo de l’iPhone 14 Pro Max pour illustration // Source : Anthony Wonner – Frandroid

Le Wall Street Journal alerte sur les multiplications de comptes Apple bloqués, expropriés suite à des vols d’iPhone. En cause : la fonction de clé de secours, censée permettre de conserver son compte Apple, même en ayant oublié son mot de passe. Une fonction utilisée par les voleurs pour bloquer la fonction « Localiser » des appareils Apple, très pratique pour les retrouver.

Une histoire qui ressemble à beaucoup d’autres : un iPhone volé

La première histoire racontée par le journal ressemble à beaucoup d’autres selon ses dires. C’est celle de Greg Frasca, ancien propriétaire d’un iPhone 14 Pro. Alors qu’il était dans un bar, des voleurs lui ont dérobé son smartphone. Ils l’ont vu taper son code d’accès et ont pu accéder à son téléphone. Cela leur a permis de modifier le mot de passe Apple ID de la victime. En plus de ça, ils ont pu activer un paramètre de sécurité d’iOS difficile à trouver, la « clé de secours », qui permet de verrouiller le compte Apple de Greg Fresca. L’intérêt : bloquer la fonction de localisation de son iPhone, pour éviter de le retrouver.

Le module photo de l'iPhone 14 Pro
L’iPhone 14 Pro est doté d’un capteur ToF // Source : Anthony Wonner pour Frandroid

Seulement voilà, cela engendre le blocage des données de l’homme de 46 ans. Sans son iPhone, qualifié d’« appareil de confiance », il ne peut débloquer son compte. Au Wall Street Journal, il dit être prêt à faire n’importe quoi pour le récupérer : se rendre au siège californien du fabricant pour prouver son identité, se soumettre à un test ADN, à un balayage de la rétine ou faire un chèque de 10 000 dollars. Ce n’est pas un smartphone à plus d’un millier de dollars qu’il a perdu : c’est huit ans de photos de ses filles, huit années de souvenirs.

Les conséquences des vols d’iPhone

Le Wall Street Journal écrit avoir déjà signalé en février des vols d’iPhone dans des bars, qui regardent les propriétaires taper leur code, afin de pouvoir y accéder une fois le mal commis. En bloquant le compte Apple, ils évitent aussi le blocage d’Apple Pay, ce qui leur permet de vider des comptes de milliers de dollars.

Le journal ajoute avoir reçu des dizaines de témoignages similaires à celui de Greg Fresca après sa première publication en février, « dans au moins neuf villes américaines, dont New York, la Nouvelle-Orléans, Chicago et Boston. » Si la majorité arrive à récupérer son argent, le défi est tout autre : « trouver un moyen, à travers les politiques et la bureaucratie complexes d’Apple, de récupérer leurs photos, contacts, notes, messages et autres fichiers perdus. » Néanmoins, « la politique d’Apple ne permet pratiquement pas aux utilisateurs d’accéder à leur compte sans cette clé de secours. »

Le logo d’Apple // Source : Nathan Le Gohlisse pour Frandroid

Apple a réagi via un porte-parole et a indiqué compatir avec les victimes et prendre « très au sérieux toutes les attaques contre nos utilisateurs, même si elles sont rares. » La société a ajouté travailler chaque jour pour la protection des comptes et dit chercher des protections supplémentaires « contre les menaces émergentes comme celle-ci. »

Source : Frandroid – Chloé Pertuis

Autre histoire racontée par le Wall Street Journal et qui se termine bien, celle de Terry Allen et de son iPhone 13 Pro. Lui aussi a été volé et ses données bloquées par le même processus. Après avoir tenté de joindre Apple pendant des mois, il dit avoir finalement réussi à prendre contact avec un représentant. Puis il a dû répondre à certaines questions de vérification et a obtenu la désactivation de la clé de secours, ce qui lui a permis de réinitialiser son mot de passe. Toutefois, Terry Allen utilise son compte Apple à des fins professionnelles, ce qui pourrait expliquer pourquoi il a pu récupérer son compte.

En quoi consiste la clé de secours des iPhone

Parlons-en de « clé de secours » : c’est une fonction permettant d’améliorer la sécurité de la double authentification sur un appareil Apple. Lorsque vous souhaitez réinitialiser votre mot de passe, cette clé permet de récupérer l’accès à son compte. Comme on peut le lire sur le site d’Apple, il s’agit d’un code à 28 caractères aléatoires. Le souci, c’est que « la création d’une clé de secours désactive la récupération de compte. La récupération de compte est une autre méthode utilisée pour retrouver l’accès à votre compte lorsque vous ne disposez pas d’informations suffisantes pour réinitialiser votre mot de passe. »

Source : Frandroid – Chloé Pertuis

Apple reconnaît totalement ce problème en écrivant que « l’utilisation d’une clé de sécurité est plus sécurisée, mais elle implique que vous conserviez un accès à vos appareils de confiance et à votre clé de secours. Si vous veniez à perdre les deux, votre compte pourrait être bloqué de façon permanente. » Il s’agit d’une méthode plus sécurisée puisqu’elle s’ajoute à la double authentification et permet donc d’éviter les conséquences d’un SIM swapping, autrement dit le piratage de votre carte SIM pour récupérer les SMS contenant des codes de vérification.

Comment sécuriser son iPhone pour éviter de perdre ses données

Pour corriger le problème rencontré par ces dizaines de victimes, le mieux est de tout d’abord activer la clé de secours. Apple ajoute conseiller « de confier une copie de votre clé de secours à un membre de votre famille ou d’en conserver des copies à plusieurs endroits. Ainsi, vous pourrez toujours accéder à votre clé de secours en cas de besoin. » Attention, les voleurs d’iPhone, s’ils ont votre code de déverrouillage, peuvent tout à fait générer une nouvelle clé de secours.

Les autres solutions sont plus basiques : si vous avez un iPhone, privilégiez Face ID ou Touch ID et non pas un code. Si vous voulez quand même utiliser un code, faites en sorte qu’il soit le plus compliqué possible et évitez de l’utiliser aux yeux de tout le monde en public. Dans les méthodes plus spécifiques, vous pouvez très bien utiliser une option de contrôle parental. En définissant un temps d’écran journalier, vous pouvez faire en sorte qu’il ne s’enlève qu’en entrant un code.

Aussi, nous vous conseillons de sauvegarder vos données dans un disque dur externe, un serveur NAS, sur votre ordinateur portable ou sur une sauvegarde cloud. Bref, faites régulièrement des sauvegardes externes à iCloud pour éviter de perdre vos données, même si vous perdez votre compte Apple.