iCloud : débloquer le démarrage d'un Mac sans payer de rançon
L'une de nos lectrices s'est retrouvée il y a quelques jours confrontée au problème de ces Mac qui se retrouvent verrouillés à distance et dont l'accès pourra être rétabli après paiement d'une rançon en bitcoins.
Plusieurs cas s'étaient fait jour cet été et l'on croise encore des témoignages dans notre forum (lire aussi Attention à la vague de rançongiciel qui touche les appareils Apple). En discutant avec des techniciens de SAV Apple ou d'Apple Store, on se rend compte que le phénomène reste répandu du fait d'une négligence coupable des utilisateurs. L'un de ces interlocuteurs disait en voir passer assez régulièrement dans son échoppe.
L'occasion de refaire un point sur la façon dont ces tentatives d'extorsion ont lieu et comment s'en sortir.
D'abord le contexte. Ça commence par la réception d'un mail (légitime) d'Apple qui vous prévient que vos identifiants ont été utilisés lors d'une connexion web à iCloud. Suit un autre message (légitime aussi) avertissant que votre Mac a été verrouillé.
Lorsque vous l'allumez, le Mac démarre sur sa partition de restauration et ne propose rien d'autre qu'un écran gris où il faut saisir un code de déverrouillage. Sauf que vous n'avez pas ce code puisqu'il a été créé par un tiers inconnu. Le message en dessous des cases du code PIN est celui qu'aura tapé la personne tierce avec les instructions pour la contacter.
Dans le cas de notre lectrice et de ses compagnons d'infortune, il contenait une adresse Apple bidon mais fonctionnelle ("apple.help@europe.com"). Après envoi d'un mail elle a reçu une réponse automatique avec les détails du paiement à réaliser.
Ensuite, la solution. Il ne suffit pas de démarrer son Mac depuis un volume externe et de réinstaller un système sur le disque bloqué. Le verrou se trouve au niveau de la partition EFI, lue au tout début de la séquence de démarrage.
Apple, ses stores et ses revendeurs et centres de service agréés peuvent vous sortir de l'embarras. C'est une prestation parfois gratuite et rapide (il peut arriver qu'elle soit payante selon le type de partenaire Apple. Notre lectrice s'était vue proposer un devis de 78 € dans un Centre de Services Agréé mais en définitive, elle n'a rien payé. Elle a par contre dû attendre quelques jours). Seule obligation, il faut absolument que vous ameniez votre Mac avec sa facture d'achat, afin de prouver que vous en êtes bien le propriétaire.
Le technicien va installer sur une clef USB un code de déverrouillage généré par Apple et spécifique à la carte-mère de cette machine. Le Mac est démarré sur cette clef et cet outil va supprimer le blocage EFI.
Enfin, la méthode pour verrouiller. Il est relativement aisé de verrouiller à distance une machine qui n'est pas la sienne. Il "suffit" de connaître l'identifiant et le mot de passe d'un utilisateur.
Ces sésames ne se ramassent pas juste en se baissant mais disons que ça ne relève pas de l'impossible. Pour l'un de ces techniciens, la méthode de collecte de ces informations est tristement banale. Des utilisateurs vont aller s'enregistrer sur des sites pas franchement légaux et le faire avec les même identifiants que ceux qu'ils utilisent pour iCloud. Le cas classique des identifiants utilisés partout à l'identique par facilité.
Pour le méchant, une fois muni de ces identifiants, il lui suffit d'aller les utiliser sur icloud.com. Avec l'authentification à double facteur d'iCloud, la page va d'abord réclamer à ce visiteur un code à six chiffres, puisqu'il se connecte depuis une machine que ne connaît pas iCloud. Parallèlement, iCloud va vous prévenir par mail qu'un accès a été détecté (le mail type montré plus haut).
L'intrus n'a pas besoin de ce code PIN pour continuer ses basses œuvres. Certes, il lui sera impossible d'accéder à la presque totalité des services du portail d'iCloud mais il n'a besoin que de celui de localisation du Mac.
Sur cette même page il va donc cliquer sur l'option "Localiser mon iPhone" puis saisir à nouveau les identifiants iCloud. Il aura désormais accès à la liste de tous vos appareils associés à votre Apple ID.
Là, il choisit une machine et ordonne qu'elle soit verrouillée. Ce qui sera fait dans les secondes qui suivent, sans que l'utilisateur du Mac en question ne puisse rien faire.
Cette possibilité de verrouillage distant est très intéressante lorsqu'on a égaré sa machine, puisqu'on peut en bloquer l'utilisation et provoquer l'affichage sur son écran d'un message à destination de quiconque l'allumera (on peut aussi la faire sonner s'il y a des chances qu'elle soit à proximité). Le fait qu'on puisse le faire en dépit de l'authentification à deux facteurs se comprend. Vous pouvez être dans une situation où vous avez égaré votre Mac et où vous n'avez pas d'appareil de confiance avec vous — par exemple votre iPhone — pour valider le message envoyé pour authentification et recevoir en échange le code à six chiffres.
Évidemment, si vos identifiants iCloud se promènent dans la nature, cette fonction peut-être aisément détournée de son objectif premier. D'où l'importance de varier ses mots de passe et d'en choisir de différents pour chaque création de compte effectuée.
Ôtez moi d’un doute, quand vous écrivez :
« Enfin, la méthode pour verrouiller. Il est relativement aisé de verrouiller à distance une machine qui n'est pas la sienne. Il suffit de connaître l'Apple ID d'un utilisateur »
Le mot de passe associé à l’Apple ID n’est il pas indispensable pour verrouiller une machine?
@romain31000
Il faut bien identifiant et mot de passe
@r e m y
Et c’est la que l on remercie les gestionnaires de mot de passe ?
s'il peut se connecter à iCloud pour verrouiller l'ordinateur il a le mot de passe pour le verrouiller si j'ai tout compris
Je n’ai pas compris. Si on a l’authentification à double facteur, comment est-il possible d'accéder aux données de localisation sans avoir à saisir un code envoyé sur un appareil de confiance ?
Edit : je crois que j’ai compris mais du coup je suis déçu, l’authentification à double facteurs est loin d’être aussi sûre que je le pensais. Cela ne devrait pas être possible d’accéder aux données de localisation sans l’envoi d’un code sur un mail au minimum.
@sinbad21
Parce que le code de l'authentification à 2 facteurs n'est pas necessaire pour la fonction "Localiser mon Mac" (et elle seule), de facon à pouvoir l'utiliser même si c'est justement son "appareil de confiance" que l'on a perdu et que l'on veut bloquer (ou simplement localiser)
@remy
Oui j’ai compris j’ai édité mon message. Eh bien ce ne devrait quand même pas être possible, il faudrait un code envoyé sur un mail ou sur un autre numéro de téléphone par exemple, sinon c’est trop facile de bloquer un appareil.
@sinbad21
Enfaite c'est plus compliqué que ça. Parce qu'imaginons que tu n'ai qu'un iPhone et que ce soit cet appareil qui soit ton deuxième facteur, si tu te le fais voler, tu pourra jamais le verrouiller car tu ne pourra plus te connecter avec ton deuxième facteur.. CQFD.
En gros, utilisez une adresse et un mot de passe (robuste) unique pour votre AppleID et vous éviterez bien des soucis ;)
Il suffirait d’un mail ou d’un numéro de téléphone de secours, Google le propose avec son système à deux facteurs, pourquoi pas Apple ?
Le mot « enfaite » n'existe pas...
On écrit « en fait ».
Merci ;)
Donc l’idée c’est quoi au juste ? Désactiver la localisation de l’iPhone afin que personne ne puisse nuire à distance s’il est en possession d’identifiants iCloud ?
@Marimoon
Non... l'idée c'est de faire en sorte de ne pas se faire subtiliser son mot de passe.
L'autre idee, c'est d'expliquer qu'il ne faut surtout payer et qu'il suffit l'aller en AppleStore pour que le Mac soit débloqué (et pour un iPhone ou iPad, il suffit d'utiliser son code d'accès habituel)
Mêmes questions que les 3 premiers messages...
Je pense qu’un iPad ou un iPhone peut être piraté de la même manière. Et là, pas de clé USB miracle à brancher sur le Device. Une solution dans ce cas ?
@Giloup92
Oui... un iPhone ou iPad bloqué à distance, quand on le retrouve, il suffit de le déverrouiller avec son code habituel. Donc rien de particulier à faire.
@r e m y
Merci pour l'explication.
@Giloup92
Restauration complète, qui permettra de faire sauter le verrou et demandera de d’authentifier avec son Apple ID au redémarrage après réinstallation du système vierge. Dans ce cas pas de bobos, parce que (bien entendu) vous faites une sauvegarde systématique et régulière de votre appareil iOS...
Il n’y a que les Mac qui demandent un mot de passe inséré dans l’EFI durant le mode « perdu », du fait que la réinstallation du système pourrait sinon être faite sans connexion obligatoire aux serveurs d’Apple, voire si blocage avec OS Apple, réinstaller un Windows/Linux ou un autre disque dur, et la protection devenir inutile.
Donc est-ce que Localiser son Mac (de bureau) est si important à activer ? Sur un MacBook, je comprends la peur, mais à son bureau ?
Y'a-t-il d'autres fonctions liées à ce "Localiser son Mac" qui pourraient manquer si on désactivait l'option ?
@House M.D.
Non... il suffit de saisir le code de déverrouillage habituel de l'iPhone ou iPad!
Inutile de le restaurer.
@r e m y
Un vieux doute sur le coup, il y a bien longtemps que je n’ai pas révisé mes procédures…
L’article devrait mieux synthétiser. En clair avec nom d’utilisateur et mot de passe dans la nature et malgré l’authentification à deux facteurs, on peut vous emmerder en bloquant le Mac à distance en passant par le site web.
@rolmeyer
C'est exactement ça.
Super. Maintenant vous savez comment utiliser l’application iGeneration iOS de façon fonctionnelle sans payer la rançon ?
Je ne comprends pas : si le verrou se situe au niveau de la partition EFI, pour moi il suffit de repartitionner en GUID le disque ou le SSD, ce qui va effacer la partition EFI ET le disque système, puis de réinstaller avec une sauvegarde, non ?
@pecos
Non, l'EFI n'est pas sur le disque mais c'est une puce directement sur la carte mère.
il y a réellement une partition EFI cachée au début du disque (ou SSD), du coup je ne suis pas très sûr te ta remarque ?
exemple : http://themacadmin.com/mounting-the-efi-boot-partition-on-mac-os-x/
Ce qu’il veut dire c’est que le blocage est géré par une puce spécifique, indépendante du disque.
Il faut aussi comprendre que la partition EFI du disque ne constitue qu’une partie de l’EFI d’un Mac.
Ce sont deux choses différentes.
L'EFI est effectivement un composant physique de la carte mère du Mac. C'est ce composant qui gère le verrouillage par mot de passe EFI et les différentes fonction au démarrage.
Le disque contient également une partition EFI, qui contient les informations dont l'EFI a besoin pour démarrer macOS (entre-autre).
@pecos
Je pense qu'il doit y avoir une sécurité qui efface le contenu du disque si tu change en guid
@IPICH
C'est le Mac qui est verrouillé... pas le disque.
Tu peux démonter le disque, en mettre un autre, le Mac reste bloqué.
Par contre le disque, une fois sorti du Mac bloqué, peut être lu sur un autre Mac sans souci. Toutes les donnees sont intactes
J'ai activé le mot de passe au niveau EFI, suis-je prémuni dans ce cas ?
@alitaliano
Non absolument pas.
C'est un petit peu plus compliqué:
L'EFI est en deux "morceaux", une partie sur la carte mère et l'autre sur la fameuse partition EFI.
Une fois l'EFI de la carte mère bloqué, il n'y a plus moyen de démarrer sa machine. La carte refuse le boot "normal" et toutes les combinaisons de touches au démarrage sont désactivées.
Même en changeant le disque dur, cela ne solutionne pas le problème.
La seule solution: L'Apple Store (gratuit normalement) ou le centre de service le plus proche (intervention payante dans ce cas, je me suis renseigné).
Le problème, comme dit dans l'article, c'est le propriétaire de la machine, qui soit a utilisé le même mot de passe partout, soit, est tombé dans le panneau d'un "fishing".
Une fois j'ai même entendu parler que c'était un ami qui utilisait aussi le même identifiant qui s'était fait avoir et avait compromis le compte du propriétaire...
Je n'aurais qu'une chose à dire: Les logins et mots de passe doivent être gérés sérieusement ! Il y a beaucoup de logiciels sur le marché pour ça, à commencer par le trousseau iCloud.
@Hinamori
Merci pour l'info :)
Tu risques surtout d'oublier le mot de passe et de devoir payer une nouvelle carte mère si tu n'es pas en mesure de retrouver ta facture d'achat.
Le mot de passe EFI ne protège que de certaines fonctions en accès physique à la machine. Une fois démarrée, mot de passe EFI ou pas, la machine est protégée de la même façon et tout aussi vulnérable à ce type d'attaque.
Si je comprends bien, l'auteur de cet article "[est] aller s'enregistrer sur des sites pas franchement légaux et le faire avec les même identifiants que ceux [qu'il utilise] pour iCloud" ?
Ah ben c'est du propre !
Moi, ce qui me fait peur, c'est qu'à l'avenir, avec la souplesse d'esprit d'Apple, qui impose de plus en plus ses solutions, on n'ait plus d'autre choix que d'utiliser iCloud (ce à quoi je me refuse). M'embêterait de devoir passer sous Windows...
Tu peux encore aujourd'hui te passer d'iCloud, c'est moins pratique mais tu le peux encore.
A l'avenir, il est vrai que le Cloud prendra de plus en plus d'importance.
Peut être aurons nous tous la possibilité de faire notre propre Cloud à la maison, mais l'intérêt est plus limité.
« Peut être aurons nous tous la possibilité de faire notre propre Cloud à la maison, mais l'intérêt est plus limité. »
Mais tu peux déjà et depuis longtemps te faire ton propre Cloud chez toi !
Y'a plusieurs solutions pour ça, de la plus simple à la plus compliquée.
Et c'est possible depuis bien avant qu'iCloud n'existe.
En fait, le Cloud privé c'est la solution aux piratages et espionnage de masse. Puisque les données ne sont plus centralisées sur quelques serveurs appartenant à de grosses entreprises mais réparties sur plein de serveurs appartenant à des particuliers.
Je possède depuis plus de 5 ans des NAS et c'est surement les meilleurs achats que j'ai fait en matériel informatique (et j'en ai fais et en fait toujours beaucoup !).
Je pense qu'il faut absolument éviter les cloud public tel que iCloud, Google Drive, One Drive ou autre et que tout le monde/ou tous les foyers devraient avoir au moins un NAS pour centraliser les données de la famille, sauvegarder etc...
Enfin, je ne vois pas en quoi « l'intérêt est plus limité » d'avoir son propre cloud, faudra m'expliquer.
Au contraire, un des gros intérêt c'est d'éviter de se faire pirater lors des hacks de gros serveurs.
Dans le pire des cas, c'est une famille qui se fait hacker plutôt que des milliers, ou millions de comptes d'un coup.
Et il faut des mots de passe forts !
Je n'utilise pas de gestionnaire de mots de pass puisque je ne leur fait pas confiance.
Mais ça ne m'empêche pas d'avoir des mots de passe compliqués de plus de 12 caractères sans sens particulier (pas de mots) et avec symboles et caractères spéciaux.
Très intéressant.
M'en vient une question : le mot de passe iCloud est forcément le même que celui demandé au démarrage du Mac ? C'est le même que celui de la facturation en ligne des services Apple ?
@smog
Tu n'es pas obligé d'utiliser ton identifiant icloud pour déverrouiller ton Mac.
Tu peux avoir un AppleID (sur les différents stores) différent du compte iCloud utilisé habituellement
Ok, merci r e m y. Mais du coup, le mot de passe du Mac, c'est l'AppleID ?
Et question bonus : est-ce embêtant d'avoir le même mdp pour don Mac et pour iCloud ?
Si oui (2è bonus) : comment on fait pour changer le mot de passe iCloud ? Et celui du Mac ?
Désolé, ça fait beaucoup de questions mais à force je suis un peu perdu...
@smog
Sur le Mac tu peux te créer une session avec le nom et le mot de passe de ton choix.
Pour changer le mot de passe icloud ou AppleID c'est sur
AppleID.apple.com que ça se passe.
Ok merci !
@smog
Non, tu parles du mdr Administrator. Rien à avoir avec le mdr iCloud
merci Belrock.
Et si la facture d’achat et sur le mail iCloud?????
@belrock
Tu vas chercher cet email en utilisant un autre ordinateur via le webmail du site iCloud.com.
Merci je suis l’auteur d’un des topic sur le forum, moi IRSI un centre agréé Apple à voulu me faire payer 119€ pour déverrouiller alors qu’Apple le fait gratis !!J’ai refusé mais mon force a payer ! Et quand ils ont vu que je voulais pas payer le technicien m’a dis qu’il me remettrait le virus..
Apple a été choqué, ils m’ont dis qu’il le ferais gratuit sans soucis. J’ai finalement pu récupérer l’ordi sans rien payer et débloqué. IRSI ont dis à Apple qu’ils m’avais proposé 39€ et pas 119€ !!
Des menteurs ! Je voulais enregistrer la conversation ce jour là mais j’ai oublié sur place je m’en veux !
Bref sur mon topic j’ai expliqué l’histoire.
Maintenant je sais mieux comment cela marche, suffit juste de changer nos mot de passe, mais il devrais y avoir une solution pour ça.
Limite on devrais donner une photo de nous à Apple et soit faire une webcam soit se rendre en boutique physique selon l’opération mais on devrais trouver une solution pour éviter cela.
Je n'excuse pas ce centre pour le mensonge et la menace, mais oui je te confirme que les centres agréés ne sont pas rémunérés pour ce type de prestation, et donc qu'ils sont libres de facturer au prix qu'ils le souhaitent. Tout le monde n'a pas la trésorerie d'Apple pour se permettre de faire du gratuit ;-)
Pages