Des piratages de comptes iCloud sont suivis de demandes de rançons

Stéphane Moussie |

L'imagination des malfaiteurs est sans limites. Le site AppleTips rapporte que la fonction Localiser mon iPhone est détournée pour demander des rançons. Pour l'exploiter, le malandrin doit avoir nécessairement accès au compte iCloud de la victime, par exemple en ayant volé son mot de passe grâce à du phishing.

Sur iCloud.com, il peut placer un des terminaux en « mode perdu » et faire apparaître un message sur son écran, par exemple « Cet appareil est bloqué. Déverrouillez-le contre 1 337 €. Contactez : malandrin@pasgentil.fr ».

Paniquée, la victime va alors s'exécuter... alors que l'appareil n'est en fait pas plus verrouillé qu'à l'accoutumée. Il suffit de saisir le code de déverrouillage habituel pour l'utiliser — et désactiver le « mode perdu » par la même occasion.

Si vous êtes la cible d'une telle attaque, il est urgent de modifier votre mot de passe iCloud. Nous recommandons aussi vivement l'activation de l'authentification à deux facteurs, qui ajoute une couche de sécurité à votre compte.

Par ailleurs, un internaute finlandais qui s'est fait voler son iPhone récemment raconte un autre type d'escroquerie : quelques jours après le vol, il a reçu un email et un SMS semblant provenir d'Apple l'alertant que son smartphone avait été retrouvé.

Contrairement aux apparences, il s'agit d'un site frauduleux. Comment le savoir ? Le nom de domaine n'appartient pas à Apple (il serait sinon vert avec un petit cadenas). Une subtilité inconnue de la plupart des utilisateurs...

Or, il s'agissait d'une tentative de phishing élaborée pour voler les données de connexion de son compte iCloud. Le malfaiteur a vraisemblablement trouvé son identité (puis son email et son numéro de téléphone) en consultant sa fiche médicale iOS — qui n'est pas protégée par un code puisqu'elle doit justement servir au cas où l'utilisateur a un problème.

Prudence, donc, quand vous recevez des emails provenant soi-disant d'Apple après un vol. De manière générale, il faut toujours vérifier l'authenticité des sites sur lesquels on se connecte.

avatar r e m y | 

J'ignorais qu'en cas de verrouillage à distance on pouvait quand même déverrouiller avec le code habituel (voire avec touchID j'imagine).

avatar sangoke | 

@r e m y :
Je pense justement que l'iPhone n'est pas bloqué à distance car sinon le message ne s'affichera pas sur le lockscreen pour demander la rançon. Ils jouent sur la peur pour que la personne paie vite au lieu d'aller changer son mot de passe pour lui couper l'accès au compte iCloud. Sinon la technique du phishing après un vol, il faut reconnaître que la y'a vraiment du niveau, c'est clairement la méthode la plus efficace pour pouvoir se servir d'un iPhone qui a été volé et bloqué par la victime mais ça demande quand même une bonne organisation c'est donc souvent des vrais professionnels derrière ces délits.

avatar r e m y | 

Effectivement, je viens de faire des essais. A la différence des Macs, que l'on peut verrouiller avec un code défini à distance, pour les iPad ou iPhone, le "mode perdu" envoie un message, un numéro de téléphone a appelé et verrouille l'appareil mais avec le code de verrouillage habituel.

avatar Pgey | 

1337€, c'est pas choisi au hasard !

https://fr.m.wikipedia.org/wiki/Leet_speak

avatar spece92 | 

Sûrement des gens qui mettent des mots de passe bidons et n'utilisent pas la vérification en deux étapes

avatar 0lf | 

@spece92 :
À ce que j'ai lu, le vérification en deux étapes n'empêche pas l'accès à "localiser mon iPhone" à quelqu'un disposant des identifiants du compte. Maintenant, si les données ont été proprement sauvegardées, ça ne représente pas un très gros risque.

avatar anti2703 | 

@0lf :
1

avatar mac_adam | 

J'ai compris le contraire : pour faire cette arnaque, il est dit dans cet article qu'il faut avoir accès au compte iCloud de la victime ; or, sauf erreur de ma part, l'accès au compte iCloud est impossible si l'escroc n'est pas en possession d'un des appareils de la victime validés par la vérification en deux étapes.

avatar C1rc3@0rc | 

@spece92

Comme les communs 0000,1111, 1234, 9876, 8462, 2016... ?
On trouve différentes listes des pires et plus communs mot de passe sur Internet comme par exemple sur le site de symantec mais on trouve surtout des dictionnaires destinés a des tests d'intrusion...

Pour rappel un mot de passe resistant doit:
- comporter plus de 12 signes (lettres, chiffres, caractere de ponctuation,...)
- comporter au moins des majuscules et minuscules
- comporter au moins des signes qui ne sont ni des lettres, ni des chiffres (!@#$%^&*()_-+=/|)
- aucun mot evident (son nom ou prenom, anniversaire, etc)
- etre unique: un email (alias mail comme le proposent Yahoo,outlook,Free,...) et un mot de passe unique par site!
- être changé régulièrement!

Ceci dit encore une fois la vérification en deux etapes - qui utilise le SMS - est un piege qui est de plus en plus denoncé par les chercheurs en securité!
Ce n'est pas fiable et c'est meme dangereux. D'une part il y a plusieurs failles dans les protocoles de téléphonie et notamment le SMS, et d'autre part, une fois que le serveurs est piraté le numéro de tel est alors en libre service pour les malfaiteurs... Et comme le nº de tel est un identifiant civil avc beaucoup de donnees sensibles associées...
Bref il ne faut jamais donner son num de tel aux sites WEB, point.

De plus il ne faut jamais utiliser d'applications tierces pour acceder a ses comptre web.

Apres, il n'est pas a exclure une faille dans iCloud...

avatar 0lf | 

La vérification en 2 étapes peut utiliser un SMS, mais c'est pas forcé.

avatar C1rc3@0rc | 

C'est pour cela que je precise: - qui utilise le SMS - !
La vérification a 2 facteurs ou 2 étapes peut se faire de manière fiable si et seulement si les 2 récepteurs/émetteurs sont totalement distincts. Certaines banques sérieuses proposent a leurs clients une identification a 2 terminaux: un PC/smartphone et un terminal radio avec une carte a puce...

L'utilisation du SMS ne sécurise rien du tout et son seul objectif est de permettre au prestataire de recuperer le numéro de tel et d'identifier civilement er légalement l'utilisateur, et donc de constituer des fichiers client monnayables...

avatar Wes974 | 

"-etre unique: un email et un mot de passe unique par site!"

Un email par site ??? Pour le mot de passe unique par site mais pour le mail unique ça, ce n'est pas possible…

"- être changé régulièrement!"

Et ce n'est pas parce qu'on change régulièrement un mot de passe qu'on est plus sécurisé (voir : http://arstechnica.com/security/2016/08/frequent-password-changes-are-the-enemy-of-security-ftc-technologist-says/)

avatar C1rc3@0rc | 

Bien évidement que c'est possible d'avoir 1 email par site/service : les alias mail sont la pour ça!

Bien évidemment changer de mot de passe régulièrement est une securité en plus: le malandrin qui vole un fichier clients a une entreprise doit attendre un certain temps avant de pouvoir le revendre s'il veut pas se faire prendre. Plus il attend, plus les mots de passe sont obsolètes et donc son fichier n'a pas de valeur commerciale. Donc soit il prend le risque d'avoir un fichier obsolète, soit il doit s'exposer et révéler que les mot de passe détenus par une entreprise ont été vole...

avatar adixya | 

Bof, 12 signes, 8 signes c'est suffisant si il y a 1 caractère spécial, des chiffres et des majuscules minuscules.
Au-delà, autant faire une phrase de passe à la place du mot de passe, ca fait carrément beaucoup plus de caractères et c'est + facile de s'en souvenir qu'une suite ésotérique de symboles.

avatar Link1993 | 

@adixya :
8 n'est plus suffisant...

avatar Oncle Sophocle | 

@Link1993

Avec un choix parmi 69 symboles (lettres majuscules, lettres minuscules, chiffres, signes de ponctuation), on obtient :
- avec douze caractères, 5x10^21 (cinq mille milliards de milliards) combinaisons possibles ;
- avec huit caractères, 2x10^14 (deux cent mille milliards) combinaisons possibles ;

Dans les deux cas, si on évite les grands classiques (12345678, prénoms, noms de lieux, dates etc), une attaque par force brute nécessite un délai prohibitif.

Par contre, on est toujours tributaire de la résistance aux intrusions des services auxquels on se connecte.

avatar Link1993 | 

@Oncle Sophocle :
On a suffisamment de puissance pour que l'on puissent considérer 8 caractère insuffisant, même avec la ponctuation. Quand on crée un mots de passe, 9 devrai être le minimum.

avatar Link1993 | 

@C1rc3@0rc :
Les meilleurs recommandations de mots de passes avec explications de décryptage de mots de passe sont par là :
https://youtu.be/3NjQ9b3pgIg

avatar françois bayrou | 

Pour rappel un mot de passe resistant doit:
(blablablabla)

https://xkcd.com/936/

avatar Link1993 | 

@françois bayrou :
Celui ci est complètement dépassé, voire même dangereux puisqu'il fait passer d'un mots de passe à 16 caractère à un mots de passe à 4 mots rapidement cassé par attaque utilisant la méthode de dictionnaire.

avatar sachouba | 

@Link1993 :
Un mot de passe composé de 4 mots peu utilisés du dictionnaire équivaut à un mot de passe composé de 12 chiffres et lettres minuscules et majuscules aléatoires, en nombre de possibilités. C'est une bonne sécurité !

avatar Link1993 | 

@sachouba :
Ca dépends si le gars débute l'attaque par les mots les moins utilisé. Dans ce cas là, tu oublies l'équivalent des 12 caractères ^^

De plus, qu'est ce qui te permet de dire que le mots est peu utilisé ? Une personne spécialisé dans ce domaine peut connaitre un mots peu utilisé dans une langue, mais très utilisé dans un mots de passe.

Le social entre énormément en jeu !

Le mieux pour appliquer cette méthode, est sinon d'utiliser des mots inventés. Le genre de truc qui serai improbable dans un dictionnaire. Et pour faire mieux encore, mettre un symbole en plein milieu (pas milieu milieu du mots, mais quelque par de totalement improbable)

avatar ce78 | 

Le problème consistant à changer de mot de passe dès qu'on subit une telle attaque n'est pas toujours possible. Le pirate ayant par définition vos ID/MDP, il peut lui aussi les changer avant le propriétaire. Comme ça on n'a plus accès à rien...

avatar kelkun | 

@ce78 En fait tu peux toujours réinitialiser le mot de passe grâce aux questions de sécurité que tu as choisies à la base. Les personnes malintentionnées ne peuvent pas les modifier ces questions/réponses car il faut d'abord connaître les réponses pour les changer. C'est pratique.

avatar sangoke | 

@ce78 :
Sauf que s'il le change avant d'envoyer le message, l'iPhone ne recevra jamais le message car il demandera de taper le nouveau mot de passe pour le compte iCloud et là son arnaque s'arrête ici il aura "juste" saboté un iPhone mais n'aura pas gagné d'argent. Et encore l'iPhone et le compte iCloud sont peut être récupérable en tentant de le récupérer avec "mot de passe oublié"

avatar ce78 | 

@sangoke : ah oui en effet je n'y avais pas pensé c'est très juste ! Merci !

avatar thebarty | 

Attention !
malandrin@pasgentil.fr est une adresse bidon. Probablement du phishing lié à un domaine très louche en xxxGeneration.
Utilisez plutôt brigand@malotru.org qui, elle, est une adresse sérieuse.

avatar Wes974 | 

Je préfère utiliser pasdutoutunvoleur@rapetou.net qui m'a l'air beaucoup plus sérieux.

avatar DG33 | 

@Dark-mac :
Pas vraiment, car dès lors que c'est point net, c'est trouble...
;-)

avatar thomashack | 

@thebarty :
1

avatar ce78 | 

@thebarty : lol !

avatar splend_f | 

Autre élément important, si on se fait voler son iPhone. C'est de désactiver l'accès au centre de contrôle depuis l'écran verrouillé. Ainsi le voleur ne pourra pas se mettre en mode avion sans devoir déverrouiller l'appareil. Et on pourra donc le géolocaliser depuis le portail iCloud.com

avatar fousfous | 

@splend_f :
L'iPhone peut toujours être éteint, donc du coup moi je garde le centre de contrôle actif pour la lampe
Mais sinon Apple pourrait empêcher le mode avion et l'extinction de l'iPhone si il est verrouillé

avatar marenostrum | 

il enlève la carte sim en premier et tu pourras rien faire.

avatar iGeek07 | 

@splend_f :
Il n'aura qu'à éteindre le téléphone pour empêcher d'être localisé…

Et pour ceux qui vont répondre "c'est pour ça qu'Apple devrait demander le mot de passe quand on éteint le téléphone!", je répondrai que ça ne changerai rien puisqu'il n'y aura alors qu'à faire un reset (power home)… bref, les solutions ne manquent pas…

Clairement Apple a fait ce qu'elle a pu pour que les voleurs ne puissent plus utiliser le téléphone tel quel, mais doivent le revendre en pièces détachées. Et ça a déjà mis un gros frein au vol je pense, vu que ça demande plus d'organisation, donc pas à la portée du petit voleur du coin.

avatar mib2511 | 

Même si c'est quelqu'un (ou voleur) qui le trouve, s'il éteint le téléphone et veut le rallumer , c'est impossible s'il y a un code !!
Donc impossible de le localiser après...

avatar bugman | 

"Le nom de domaine n'appartient pas à Apple (il serait sinon vert avec un petit cadenas). Une subtilité inconnue de la plupart des utilisateurs..."

Ce n'est pas plutôt si le site à un certificat SSL valide, tout simplement (Apple ou non) ?
Je proposerais plutôt de faire un whois sur le nom de domaine.

avatar bonnepoire | 

Par le certificat tu prouves que tu es bien le propriétaire.

avatar bugman | 

Oui bonnepoire, mais cela ne veut pas dire que je m'appelle Apple pour autant. La phrase que je cite au dessus est tres maladroite, on pourrait croire que si le cadenas est vert alors c'est bien un site Apple. Ce qui n'est pas obligatoirement vrai. Ce que je voulais souligner.

avatar bonnepoire | 

Malheureusement il y a de plus en plus de certificats auto-signés.

avatar Math-m | 

J'ai eu pareil, après un vol ma mère a reçu du phishing... Ils étaient à deux doigts de le débloquer ...

avatar twistan_ | 

Un cadenas vert tout le monde peut l'avoir hein

avatar sylverberg65 | 

Moi j'aime bien l'adresse : volezmoi@jemelaissefaire.me

avatar oomu | 

Concernant les questions de sécurité, je recommande, quand on vous donne la possibilité, de choisir des questions vraiment tordues ("la couleur de la tapisserie de la première maison de ma grand-mère") ou carrément mentir. Mais faut réussir à retenir ou le noter dans un lieu sécurisé.

Le classique "nom de mon premier animal de compagnie" et autres questions aussi banales sont souvent des choses que l'on raconte sur internet et qui éventuellement peuvent être indexée et facile à retrouver.

Ou alors mentir en permanence, faire croire à tout le monde que votre film favori est "Liaison fatale", quand secrètement c'est Weekend à Bernie's :)

L'avantage d'un logiciel à la 1password (en local ! pas chez un serveur bizarre), c'est qu'on peut se permettre de mettre des mots de passe tordus pour tout, mettre n'importe quoi aux questions de sécurité et tout enregistrer dans un gestionnaire de mot de passe. On a plus qu'à retenir uniquement la passe-phrase qui crypte tous les mots de passe et réponses.

avatar bonnepoire | 

Encore un coup de sachouba et lmouillard...

avatar sachouba | 

@bonnepoire :
Probablement !
Comme quoi, affirmer vouloir à tout prix protéger la confidentialité de ses utilisateurs, mais en laissant des infos permettant le phishing sans déverrouiller l'iPhone, c'est un peu rigolo.

avatar le ratiocineur masqué | 

Bon à savoir, merci, la prochaine fois que je reçois un mail qui commence par "Bonjoure je suis aple jai retrouvé votre iPhone et des informations sont nessaissaires pour sécurité veuillez s'il te plait connecté à ton compte iCloud ici : connectertoiaicloud.com pour validé que toi es le propriétaire de lui téléphone au plus vite merci. Aple Computers." maintenant je saurais que c'est peut-être frauduleux.

Un Ratiocineur averti en vaut 2 :-)

avatar r e m y | 

@mac-Adam
Tout le monde n'a pas activé la verification en 2 étapes de son compte iCloud, loin de là!

avatar r e m y | 

@mac_adam
Tout le monde n'a pas activé la vérification en 2 étapes de son compte iCloud, loin de là!

avatar Dorian Stoll | 

Je ne sais pas comment en 2016 on peu se faire pirater. Avec 1Password, Freedom VPN, Bitlocker... Fou !

Pages

CONNEXION UTILISATEUR