Des piratages de comptes iCloud sont suivis de demandes de rançons

Stéphane Moussie |

L'imagination des malfaiteurs est sans limites. Le site AppleTips rapporte que la fonction Localiser mon iPhone est détournée pour demander des rançons. Pour l'exploiter, le malandrin doit avoir nécessairement accès au compte iCloud de la victime, par exemple en ayant volé son mot de passe grâce à du phishing.

Sur iCloud.com, il peut placer un des terminaux en « mode perdu » et faire apparaître un message sur son écran, par exemple « Cet appareil est bloqué. Déverrouillez-le contre 1 337 €. Contactez : malandrin@pasgentil.fr ».

Paniquée, la victime va alors s'exécuter... alors que l'appareil n'est en fait pas plus verrouillé qu'à l'accoutumée. Il suffit de saisir le code de déverrouillage habituel pour l'utiliser — et désactiver le « mode perdu » par la même occasion.

Si vous êtes la cible d'une telle attaque, il est urgent de modifier votre mot de passe iCloud. Nous recommandons aussi vivement l'activation de l'authentification à deux facteurs, qui ajoute une couche de sécurité à votre compte.

Par ailleurs, un internaute finlandais qui s'est fait voler son iPhone récemment raconte un autre type d'escroquerie : quelques jours après le vol, il a reçu un email et un SMS semblant provenir d'Apple l'alertant que son smartphone avait été retrouvé.

Contrairement aux apparences, il s'agit d'un site frauduleux. Comment le savoir ? Le nom de domaine n'appartient pas à Apple (il serait sinon vert avec un petit cadenas). Une subtilité inconnue de la plupart des utilisateurs...

Or, il s'agissait d'une tentative de phishing élaborée pour voler les données de connexion de son compte iCloud. Le malfaiteur a vraisemblablement trouvé son identité (puis son email et son numéro de téléphone) en consultant sa fiche médicale iOS — qui n'est pas protégée par un code puisqu'elle doit justement servir au cas où l'utilisateur a un problème.

Prudence, donc, quand vous recevez des emails provenant soi-disant d'Apple après un vol. De manière générale, il faut toujours vérifier l'authenticité des sites sur lesquels on se connecte.

avatar r e m y | 

J'ignorais qu'en cas de verrouillage à distance on pouvait quand même déverrouiller avec le code habituel (voire avec touchID j'imagine).

avatar sangoke | 

@r e m y :
Je pense justement que l'iPhone n'est pas bloqué à distance car sinon le message ne s'affichera pas sur le lockscreen pour demander la rançon. Ils jouent sur la peur pour que la personne paie vite au lieu d'aller changer son mot de passe pour lui couper l'accès au compte iCloud. Sinon la technique du phishing après un vol, il faut reconnaître que la y'a vraiment du niveau, c'est clairement la méthode la plus efficace pour pouvoir se servir d'un iPhone qui a été volé et bloqué par la victime mais ça demande quand même une bonne organisation c'est donc souvent des vrais professionnels derrière ces délits.

avatar r e m y | 

Effectivement, je viens de faire des essais. A la différence des Macs, que l'on peut verrouiller avec un code défini à distance, pour les iPad ou iPhone, le "mode perdu" envoie un message, un numéro de téléphone a appelé et verrouille l'appareil mais avec le code de verrouillage habituel.

avatar Pgey | 

1337€, c'est pas choisi au hasard !

https://fr.m.wikipedia.org/wiki/Leet_speak

avatar spece92 | 

Sûrement des gens qui mettent des mots de passe bidons et n'utilisent pas la vérification en deux étapes

avatar 0lf | 

@spece92 :
À ce que j'ai lu, le vérification en deux étapes n'empêche pas l'accès à "localiser mon iPhone" à quelqu'un disposant des identifiants du compte. Maintenant, si les données ont été proprement sauvegardées, ça ne représente pas un très gros risque.

avatar anti2703 | 

@0lf :
1

avatar mac_adam | 

J'ai compris le contraire : pour faire cette arnaque, il est dit dans cet article qu'il faut avoir accès au compte iCloud de la victime ; or, sauf erreur de ma part, l'accès au compte iCloud est impossible si l'escroc n'est pas en possession d'un des appareils de la victime validés par la vérification en deux étapes.

avatar C1rc3@0rc | 

@spece92

Comme les communs 0000,1111, 1234, 9876, 8462, 2016... ?
On trouve différentes listes des pires et plus communs mot de passe sur Internet comme par exemple sur le site de symantec mais on trouve surtout des dictionnaires destinés a des tests d'intrusion...

Pour rappel un mot de passe resistant doit:
- comporter plus de 12 signes (lettres, chiffres, caractere de ponctuation,...)
- comporter au moins des majuscules et minuscules
- comporter au moins des signes qui ne sont ni des lettres, ni des chiffres (!@#$%^&*()_-+=/|)
- aucun mot evident (son nom ou prenom, anniversaire, etc)
- etre unique: un email (alias mail comme le proposent Yahoo,outlook,Free,...) et un mot de passe unique par site!
- être changé régulièrement!

Ceci dit encore une fois la vérification en deux etapes - qui utilise le SMS - est un piege qui est de plus en plus denoncé par les chercheurs en securité!
Ce n'est pas fiable et c'est meme dangereux. D'une part il y a plusieurs failles dans les protocoles de téléphonie et notamment le SMS, et d'autre part, une fois que le serveurs est piraté le numéro de tel est alors en libre service pour les malfaiteurs... Et comme le nº de tel est un identifiant civil avc beaucoup de donnees sensibles associées...
Bref il ne faut jamais donner son num de tel aux sites WEB, point.

De plus il ne faut jamais utiliser d'applications tierces pour acceder a ses comptre web.

Apres, il n'est pas a exclure une faille dans iCloud...

avatar 0lf | 

La vérification en 2 étapes peut utiliser un SMS, mais c'est pas forcé.

avatar C1rc3@0rc | 

C'est pour cela que je precise: - qui utilise le SMS - !
La vérification a 2 facteurs ou 2 étapes peut se faire de manière fiable si et seulement si les 2 récepteurs/émetteurs sont totalement distincts. Certaines banques sérieuses proposent a leurs clients une identification a 2 terminaux: un PC/smartphone et un terminal radio avec une carte a puce...

L'utilisation du SMS ne sécurise rien du tout et son seul objectif est de permettre au prestataire de recuperer le numéro de tel et d'identifier civilement er légalement l'utilisateur, et donc de constituer des fichiers client monnayables...

avatar Dark-mac | 

"-etre unique: un email et un mot de passe unique par site!"

Un email par site ??? Pour le mot de passe unique par site mais pour le mail unique ça, ce n'est pas possible…

"- être changé régulièrement!"

Et ce n'est pas parce qu'on change régulièrement un mot de passe qu'on est plus sécurisé (voir : http://arstechnica.com/security/2016/08/frequent-password-changes-are-th...)

avatar C1rc3@0rc | 

Bien évidement que c'est possible d'avoir 1 email par site/service : les alias mail sont la pour ça!

Bien évidemment changer de mot de passe régulièrement est une securité en plus: le malandrin qui vole un fichier clients a une entreprise doit attendre un certain temps avant de pouvoir le revendre s'il veut pas se faire prendre. Plus il attend, plus les mots de passe sont obsolètes et donc son fichier n'a pas de valeur commerciale. Donc soit il prend le risque d'avoir un fichier obsolète, soit il doit s'exposer et révéler que les mot de passe détenus par une entreprise ont été vole...

avatar adixya | 

Bof, 12 signes, 8 signes c'est suffisant si il y a 1 caractère spécial, des chiffres et des majuscules minuscules.
Au-delà, autant faire une phrase de passe à la place du mot de passe, ca fait carrément beaucoup plus de caractères et c'est + facile de s'en souvenir qu'une suite ésotérique de symboles.

avatar Link1993 | 

@adixya :
8 n'est plus suffisant...

avatar Oncle Sophocle | 

@Link1993

Avec un choix parmi 69 symboles (lettres majuscules, lettres minuscules, chiffres, signes de ponctuation), on obtient :
- avec douze caractères, 5x10^21 (cinq mille milliards de milliards) combinaisons possibles ;
- avec huit caractères, 2x10^14 (deux cent mille milliards) combinaisons possibles ;

Dans les deux cas, si on évite les grands classiques (12345678, prénoms, noms de lieux, dates etc), une attaque par force brute nécessite un délai prohibitif.

Par contre, on est toujours tributaire de la résistance aux intrusions des services auxquels on se connecte.

avatar Link1993 | 

@Oncle Sophocle :
On a suffisamment de puissance pour que l'on puissent considérer 8 caractère insuffisant, même avec la ponctuation. Quand on crée un mots de passe, 9 devrai être le minimum.

avatar Link1993 | 

@C1rc3@0rc :
Les meilleurs recommandations de mots de passes avec explications de décryptage de mots de passe sont par là :
https://youtu.be/3NjQ9b3pgIg

avatar françois bayrou | 

Pour rappel un mot de passe resistant doit:
(blablablabla)

https://xkcd.com/936/

avatar Link1993 | 

@françois bayrou :
Celui ci est complètement dépassé, voire même dangereux puisqu'il fait passer d'un mots de passe à 16 caractère à un mots de passe à 4 mots rapidement cassé par attaque utilisant la méthode de dictionnaire.

avatar sachouba | 

@Link1993 :
Un mot de passe composé de 4 mots peu utilisés du dictionnaire équivaut à un mot de passe composé de 12 chiffres et lettres minuscules et majuscules aléatoires, en nombre de possibilités. C'est une bonne sécurité !

avatar Link1993 | 

@sachouba :
Ca dépends si le gars débute l'attaque par les mots les moins utilisé. Dans ce cas là, tu oublies l'équivalent des 12 caractères ^^

De plus, qu'est ce qui te permet de dire que le mots est peu utilisé ? Une personne spécialisé dans ce domaine peut connaitre un mots peu utilisé dans une langue, mais très utilisé dans un mots de passe.

Le social entre énormément en jeu !

Le mieux pour appliquer cette méthode, est sinon d'utiliser des mots inventés. Le genre de truc qui serai improbable dans un dictionnaire. Et pour faire mieux encore, mettre un symbole en plein milieu (pas milieu milieu du mots, mais quelque par de totalement improbable)

avatar ce78 | 

Le problème consistant à changer de mot de passe dès qu'on subit une telle attaque n'est pas toujours possible. Le pirate ayant par définition vos ID/MDP, il peut lui aussi les changer avant le propriétaire. Comme ça on n'a plus accès à rien...

avatar kelkun | 

@ce78 En fait tu peux toujours réinitialiser le mot de passe grâce aux questions de sécurité que tu as choisies à la base. Les personnes malintentionnées ne peuvent pas les modifier ces questions/réponses car il faut d'abord connaître les réponses pour les changer. C'est pratique.

avatar sangoke | 

@ce78 :
Sauf que s'il le change avant d'envoyer le message, l'iPhone ne recevra jamais le message car il demandera de taper le nouveau mot de passe pour le compte iCloud et là son arnaque s'arrête ici il aura "juste" saboté un iPhone mais n'aura pas gagné d'argent. Et encore l'iPhone et le compte iCloud sont peut être récupérable en tentant de le récupérer avec "mot de passe oublié"

Pages

CONNEXION UTILISATEUR