Une enquête du Wall Street Journal a levé le voile sur une pratique inquiétante et qui est de plus en plus courante, du moins aux États-Unis. Avant de s’emparer d’un iPhone, les voleurs tentent de repérer par dessus les épaules de son propriétaire le code qui le déverrouille et quand ils l’ont découvert, il est trop tard pour agir. Le code de verrouillage permet de désactiver toutes les protections en place, d’accéder à toutes les informations stockées dans le trousseau iCloud et même de modifier le mot de passe du compte Apple, laissant le propriétaire légitime sans option pour récupérer le compte et toutes les données associées.
Déverrouiller son iPhone en public, attention danger !
Loin des menaces technologiquement sophistiquées qui ont fait le succès de multiples œuvres de fiction, cette attaque est assez simple à mettre en œuvre, notamment dans des lieux de fête bondés, comme des bars. Des dizaines et dizaines de victimes ont été identifiées aux États-Unis et il n’y a pas de solution miracle pour s’en protéger. On peut espérer qu’Apple apporte une meilleure option, mais en attendant, voici quelques pistes pour éviter le pire.
Avant de commencer, je voulais souligner que tout ce qui suit concerne aussi les iPad et même les Mac. Même si la cible principale est plus naturellement un iPhone, qui sera plus facile à voler et qui sera davantage utilisé en public, les dommages seront les mêmes si une personne récupère votre Mac portable en ayant repéré son mot de passe au préalable.
Ne pas utiliser le trousseau iCloud pour les données les plus sensibles
Si un inconnu met la main sur votre iPhone en connaissant votre code de déverrouillage, il commencera probablement par désactiver le capteur biométrique de l’appareil. Dans les Réglages, puis dans « Face ID et code » ou « Touch ID et code » selon les cas, le code de déverrouillage est demandé par le système, puis vous pouvez réinitialiser la biométrie. C’est également ici que le code de l’appareil peut être modifié, voire supprimé entièrement. Le cas échéant, la biométrie n’a plus aucun rôle et seul le code de déverrouillage sert d’authentification.
Une fois cette étape réalisée, le malandrin peut notamment accéder à toutes les données stockées dans le trousseau iCloud, accessible depuis l’app Réglages, puis « Mots de passe ». Cela veut dire que tous les mots de passe enregistrés par le biais de Safari ou des apps tierces peuvent alors être connus des malfaiteurs, qui peuvent s’en servir, par exemple, pour se connecter à votre banque. C’est ce qui est arrivé à plusieurs victimes, qui ont été volées non seulement d’un iPhone, mais aussi de sommes d’argent plus ou moins significatives selon les règles de leur banque et leur temps de réaction.
Les banques peuvent en général rembourser les sommes volées suite à une affaire de ce genre, mais il faut imaginer toutes les complications associées. Les voleurs peuvent en effet bloquer leurs victimes en modifiant le mot de passe associé à leur compte bancaire et même les éventuelles questions de sécurité. Récupérer son compte peut être complexe dans ces conditions, même après avoir porté plainte, d’autant que les banques utilisent de plus en plus les smartphones eux-mêmes en guise de deuxième facteur.
