Ces derniers mois, de nombreux témoignages font état de personnes littéralement expropriées de leur compte Apple après que leur iPhone a été volé. Une situation très difficile que ne peut pas encore résoudre le géant à la pomme.
Les journalistes Nicole Nguyen et Joanna Stern du Wall Street Journal ont recueilli des dizaines de témoignages de victimes aux États-Unis. Les voleurs utilisent la clé de secours des iPhone pour bloquer l’accès des personnes à leur compte Apple et ainsi leur soutirer un maximum d’argent tout en les empêchant de localiser l’appareil.
Un mode opératoire bien rodé
La clé de secours a été introduite sur les appareils Apple en 2020. En activant l’option dans les paramètres, le système fourni un code unique généré aléatoirement de 28 caractères. Ce code permet de réinitialiser son mot de passe ou de récupérer l’accès à ses identifiants Apple, comme le précise l’entreprise de Cupertino sur son site. Enfin, la création d’une clé de secours, toujours selon le site, « désactive la récupération de compte ».
Selon les témoignages réunis par le Wall Street Journal au cours de ces derniers mois, les voleurs sont bien organisés. Ils agissent régulièrement dans les bars, boites de nuit ou restaurants, surtout la nuit. Ils observent les possesseurs d’iPhone jusqu’à en trouver un qui entre son mot de passe. C’est après coup que les voleurs agissent, lorsque le mot de passe a été retenu. C’est ce qui est arrivé à un nommé Mr Frasca avec son iPhone 14 Pro, volé dans un bar. Les voleurs ont utilisé son mot de passe pour changer l’accès à ses identifiants Apple et activer la clé de secours. Ils sont alors libres d’utiliser à leur guise Apple Pay et voler ainsi des milliers de dollars sans que l’accès puisse être coupé puisque le propriétaire n’a plus du tout accès à son compte Apple nulle part.
Le WSJ a également obtenu le témoignage de Cameron Devine, qui indique au journal avoir passé des heures au téléphone avec le service client d’Apple après le vol de son iPhone 13 Pro. Les nombreux interlocuteurs de l’homme lui ont répondu la même chose en boucle : pas de clé de secours, pas d’accès. L’Américain ne peut plus accéder à plus de 10 ans de données, de photos ou de vidéos.
Face à cette problématique, Apple, via un porte-parole cité par le WSJ, ne donne qu’une seule réponse pour le moment « Nous sympathisons avec les personnes qui ont vécu ce genre d’expérience et nous prenons très au sérieux toutes les attaques auprès de nos utilisateurs, aussi rares soient-elles. Nous travaillons sans relâche tous les jours pour protéger les comptes et données de nos utilisateurs, et nous sommes toujours à la recherche de protections supplémentaires contre les menaces émergentes comme celle-ci. »
De sérieuses questions sur la récupération des comptes
Toute cette histoire pose évidemment de grosses questions sur les techniques de récupération de compte en cas d’extrême urgence. Le journal américain cite plusieurs entreprises qui ont mis en place des systèmes censés éviter ce genre de vol et d’utilisation frauduleuse des comptes associés. Par exemple, Uber utilise la reconnaissance faciale et compare le résultat aux images d’identité officielles du gouvernement. Ce genre de méthode n’est pas toujours jugée très morale, et nombre de géants de la tech se refusent de l’adopter.
Plusieurs victimes ont offert à Apple d’autres moyens plus élaborés de prouver leur identité pour récupérer l’accès à leur compte. L’une d’elles a même proposé une identification faciale, un scan rétinien et même un test ADN, mais sans succès. Apple déclare ne pas posséder ce genre de données personnelles dans sa base de données et ne peut donc établir de liens. iOS 17, qui sera présenté plus précisément au WWDC d’Apple en juin prochain pourra-t-il apporter un début de solution ?
En attendant, il est fortement conseillé d’utiliser le plus possible le Face ID pour déverrouiller son iPhone. Si ce n’est pas possible, il vaut mieux alors établir un mot de passe compliqué, à base de chiffres et de lettres. Quant au code de déverrouillage de l’iPhone, il vaut mieux l’utiliser de la manière la plus discrète possible, toujours en gardant les deux mains sur son smartphone.
