iCloud : débloquer le démarrage d'un Mac sans payer de rançon
L'une de nos lectrices s'est retrouvée il y a quelques jours confrontée au problème de ces Mac qui se retrouvent verrouillés à distance et dont l'accès pourra être rétabli après paiement d'une rançon en bitcoins.
Plusieurs cas s'étaient fait jour cet été et l'on croise encore des témoignages dans notre forum (lire aussi Attention à la vague de rançongiciel qui touche les appareils Apple). En discutant avec des techniciens de SAV Apple ou d'Apple Store, on se rend compte que le phénomène reste répandu du fait d'une négligence coupable des utilisateurs. L'un de ces interlocuteurs disait en voir passer assez régulièrement dans son échoppe.
L'occasion de refaire un point sur la façon dont ces tentatives d'extorsion ont lieu et comment s'en sortir.
D'abord le contexte. Ça commence par la réception d'un mail (légitime) d'Apple qui vous prévient que vos identifiants ont été utilisés lors d'une connexion web à iCloud. Suit un autre message (légitime aussi) avertissant que votre Mac a été verrouillé.
Lorsque vous l'allumez, le Mac démarre sur sa partition de restauration et ne propose rien d'autre qu'un écran gris où il faut saisir un code de déverrouillage. Sauf que vous n'avez pas ce code puisqu'il a été créé par un tiers inconnu. Le message en dessous des cases du code PIN est celui qu'aura tapé la personne tierce avec les instructions pour la contacter.
Dans le cas de notre lectrice et de ses compagnons d'infortune, il contenait une adresse Apple bidon mais fonctionnelle ("apple.help@europe.com"). Après envoi d'un mail elle a reçu une réponse automatique avec les détails du paiement à réaliser.
Ensuite, la solution. Il ne suffit pas de démarrer son Mac depuis un volume externe et de réinstaller un système sur le disque bloqué. Le verrou se trouve au niveau de la partition EFI, lue au tout début de la séquence de démarrage.
Apple, ses stores et ses revendeurs et centres de service agréés peuvent vous sortir de l'embarras. C'est une prestation parfois gratuite et rapide (il peut arriver qu'elle soit payante selon le type de partenaire Apple. Notre lectrice s'était vue proposer un devis de 78 € dans un Centre de Services Agréé mais en définitive, elle n'a rien payé. Elle a par contre dû attendre quelques jours). Seule obligation, il faut absolument que vous ameniez votre Mac avec sa facture d'achat, afin de prouver que vous en êtes bien le propriétaire.
Le technicien va installer sur une clef USB un code de déverrouillage généré par Apple et spécifique à la carte-mère de cette machine. Le Mac est démarré sur cette clef et cet outil va supprimer le blocage EFI.
Enfin, la méthode pour verrouiller. Il est relativement aisé de verrouiller à distance une machine qui n'est pas la sienne. Il "suffit" de connaître l'identifiant et le mot de passe d'un utilisateur.
Ces sésames ne se ramassent pas juste en se baissant mais disons que ça ne relève pas de l'impossible. Pour l'un de ces techniciens, la méthode de collecte de ces informations est tristement banale. Des utilisateurs vont aller s'enregistrer sur des sites pas franchement légaux et le faire avec les même identifiants que ceux qu'ils utilisent pour iCloud. Le cas classique des identifiants utilisés partout à l'identique par facilité.
Pour le méchant, une fois muni de ces identifiants, il lui suffit d'aller les utiliser sur icloud.com. Avec l'authentification à double facteur d'iCloud, la page va d'abord réclamer à ce visiteur un code à six chiffres, puisqu'il se connecte depuis une machine que ne connaît pas iCloud. Parallèlement, iCloud va vous prévenir par mail qu'un accès a été détecté (le mail type montré plus haut).
L'intrus n'a pas besoin de ce code PIN pour continuer ses basses œuvres. Certes, il lui sera impossible d'accéder à la presque totalité des services du portail d'iCloud mais il n'a besoin que de celui de localisation du Mac.
Sur cette même page il va donc cliquer sur l'option "Localiser mon iPhone" puis saisir à nouveau les identifiants iCloud. Il aura désormais accès à la liste de tous vos appareils associés à votre Apple ID.
Là, il choisit une machine et ordonne qu'elle soit verrouillée. Ce qui sera fait dans les secondes qui suivent, sans que l'utilisateur du Mac en question ne puisse rien faire.
Cette possibilité de verrouillage distant est très intéressante lorsqu'on a égaré sa machine, puisqu'on peut en bloquer l'utilisation et provoquer l'affichage sur son écran d'un message à destination de quiconque l'allumera (on peut aussi la faire sonner s'il y a des chances qu'elle soit à proximité). Le fait qu'on puisse le faire en dépit de l'authentification à deux facteurs se comprend. Vous pouvez être dans une situation où vous avez égaré votre Mac et où vous n'avez pas d'appareil de confiance avec vous — par exemple votre iPhone — pour valider le message envoyé pour authentification et recevoir en échange le code à six chiffres.
Évidemment, si vos identifiants iCloud se promènent dans la nature, cette fonction peut-être aisément détournée de son objectif premier. D'où l'importance de varier ses mots de passe et d'en choisir de différents pour chaque création de compte effectuée.
Donc pas de solution pour ceux qui sont a plus de 500Km d'un apple store et qui ont reçu le mac en cadeau sans facture.
@MacCorMic
Je me suis fait avoir il y a une quinzaine de jours. Mac et iPhone bloqués
Pour l'iPhone, je l'ai effacé puis restauré et pour mon mac, je n'avais pas envie d'aller à l'Apple store, et en butinant sur le net, j'ai trouvé une solution (source journal du lapin). J'ai enlevé une barrette de ram, et j'ai fait un reset de la nvram.
lordi est débloqué et j'ai remis la deuxième barrette de ram. Maitenant avec le tout soudé, c'est plus dur. Mon MacBook Pro date de 2010.
Une question : comment arrive t'il à marquer sur l'appareil bloqué qu'il faut écrire à une certaine adresse mail?
Encore une fois, à lire toujours les mêmes remarques, on fini par ne plus les comprendre... la soudure et l'intégration des machines n'a aucun lien, on parle ici d'une sécurité.
La méthode que tu décris était celle qui permettait de supprimer le mot de passe EFI sur tous les Mac jusqu'aux modèles 2011 (non inclus, pour la plupart). Depuis les modèles 2011, il faut obligatoirement passer par Apple, même si les barrettes de RAM sont démontables.
@tilho
Tout à fait... et c'est le cas egalement pour les Mac plus anciens dès lors qu'on a bien fait la mise à jour du firmware pour supprimer cette faille de sécurité (trop simple de bypasser un mot de passe EFI en enlevant simplement une barrette...)
Pourquoi est-ce qu’Apple ne bloque pas tout simplement l’accès à la localisation sans double authentification ?
Le déverrouillage pourrai se faire depuis une boîte mail.
Ne me dites pas que c’est pour les gens qui n’ont pas d’autres machines, sinon ils ne pourraient pas recevoir le mail de rançon et payer.
En fait, c’est Apple qui ne gère pas SIMPLEMENT le problème
Suggestion :
Pourquoi ne pas introduire cet article dans le nouveau guide de macOS High Sierra. Au moins, on saurait où le retrouver en cas de besoin.
Je viens de tester de me connecter à mon compte iCloud sur un ordinateur et une IP différente que j'utilise d'habitude et iCloud m'envoie une notification me demandant si j'autorise ou non la connection, la j'ai refusé pour tester et il bloque même l'utilisation de "localiser". Les personnes qui se sont faite Hack ont accepté cette notif ?
@k-nabeesse
Apple a dû renforcer le contrôle d'accès pour exiger la double authentification même pour Localiser mon mac
Heuuu pas si sûre ou alors c'est tout récent. Ayant égaré récemment mon iPhone, j'ai utilisé Localiser mon iPhone depuis mon ordi du bureau (qui me demandait le code pour accéder à l'entièreté d'iCloud - or impossible car je cherchais justement mon iPhone) - et j'y ai eu accès sans code, uniquement avec le mot de passe.
Il faudrait garder le double facteur avec le code iCloud + le code propre à l'appareil. Il m'est arrivé ce type de blocaque en septembre pendant un voyage. iPhone, iPad en mode perdu. Heureusement le mac fonctionnait !
Oui, tout ça c'est bien compliqué pour le commun des mortels, enfin des utilisateurs de Mac. A force d'introduire des…"conneries" dans le système, pour parler français, on va au devant de surprises de plus en plus désagréables. Par exemple, quel est l'intérêt de l'encre invisible dans les messages et autres gadgets du même style. Sans compter que le système prend de l'embonpoint inutilement et devient de plus en plus complexe, offrant de multiples portes d'entrées à qui veut s'en donner la peine.
Le Cloud, ce CLOUD si cher à certains, est-il utile à tout le monde ? Non, mais tout le monde en subit plus ou moins les effets, positifs et négatifs. Je suis encore capable de mettre à jour mes contacts sur mon Mac, mon iPhone et mon iPad sans utiliser une usine à gaz dont je ne connais quasiment rien et dont on ne dit pas tout.
Par ailleurs, le mélange des genres enlève une bonne partie de l'ergonomie des anciennes applications (Pages, Nulmbers, Aperture…) et on a parfois du mal à savoir par quel bout les prendre. De plus le système change à peu prés une fois par an, ce qui n'arrange rien non plus.
Bref Apple tombe de plus en plus dans l'informatique spaghetti que l'on détestait chez d'autres fabricants ou éditeurs de logiciels.
Pages