iCloud : débloquer le démarrage d'un Mac sans payer de rançon
L'une de nos lectrices s'est retrouvée il y a quelques jours confrontée au problème de ces Mac qui se retrouvent verrouillés à distance et dont l'accès pourra être rétabli après paiement d'une rançon en bitcoins.

Plusieurs cas s'étaient fait jour cet été et l'on croise encore des témoignages dans notre forum (lire aussi Attention à la vague de rançongiciel qui touche les appareils Apple). En discutant avec des techniciens de SAV Apple ou d'Apple Store, on se rend compte que le phénomène reste répandu du fait d'une négligence coupable des utilisateurs. L'un de ces interlocuteurs disait en voir passer assez régulièrement dans son échoppe.
L'occasion de refaire un point sur la façon dont ces tentatives d'extorsion ont lieu et comment s'en sortir.
D'abord le contexte. Ça commence par la réception d'un mail (légitime) d'Apple qui vous prévient que vos identifiants ont été utilisés lors d'une connexion web à iCloud. Suit un autre message (légitime aussi) avertissant que votre Mac a été verrouillé.


Lorsque vous l'allumez, le Mac démarre sur sa partition de restauration et ne propose rien d'autre qu'un écran gris où il faut saisir un code de déverrouillage. Sauf que vous n'avez pas ce code puisqu'il a été créé par un tiers inconnu. Le message en dessous des cases du code PIN est celui qu'aura tapé la personne tierce avec les instructions pour la contacter.

Dans le cas de notre lectrice et de ses compagnons d'infortune, il contenait une adresse Apple bidon mais fonctionnelle ("apple.help@europe.com"). Après envoi d'un mail elle a reçu une réponse automatique avec les détails du paiement à réaliser.

Ensuite, la solution. Il ne suffit pas de démarrer son Mac depuis un volume externe et de réinstaller un système sur le disque bloqué. Le verrou se trouve au niveau de la partition EFI, lue au tout début de la séquence de démarrage.
Apple, ses stores et ses revendeurs et centres de service agréés peuvent vous sortir de l'embarras. C'est une prestation parfois gratuite et rapide (il peut arriver qu'elle soit payante selon le type de partenaire Apple. Notre lectrice s'était vue proposer un devis de 78 € dans un Centre de Services Agréé mais en définitive, elle n'a rien payé. Elle a par contre dû attendre quelques jours). Seule obligation, il faut absolument que vous ameniez votre Mac avec sa facture d'achat, afin de prouver que vous en êtes bien le propriétaire.
Le technicien va installer sur une clef USB un code de déverrouillage généré par Apple et spécifique à la carte-mère de cette machine. Le Mac est démarré sur cette clef et cet outil va supprimer le blocage EFI.
Enfin, la méthode pour verrouiller. Il est relativement aisé de verrouiller à distance une machine qui n'est pas la sienne. Il "suffit" de connaître l'identifiant et le mot de passe d'un utilisateur.
Ces sésames ne se ramassent pas juste en se baissant mais disons que ça ne relève pas de l'impossible. Pour l'un de ces techniciens, la méthode de collecte de ces informations est tristement banale. Des utilisateurs vont aller s'enregistrer sur des sites pas franchement légaux et le faire avec les même identifiants que ceux qu'ils utilisent pour iCloud. Le cas classique des identifiants utilisés partout à l'identique par facilité.
Pour le méchant, une fois muni de ces identifiants, il lui suffit d'aller les utiliser sur icloud.com. Avec l'authentification à double facteur d'iCloud, la page va d'abord réclamer à ce visiteur un code à six chiffres, puisqu'il se connecte depuis une machine que ne connaît pas iCloud. Parallèlement, iCloud va vous prévenir par mail qu'un accès a été détecté (le mail type montré plus haut).
L'intrus n'a pas besoin de ce code PIN pour continuer ses basses œuvres. Certes, il lui sera impossible d'accéder à la presque totalité des services du portail d'iCloud mais il n'a besoin que de celui de localisation du Mac.

Sur cette même page il va donc cliquer sur l'option "Localiser mon iPhone" puis saisir à nouveau les identifiants iCloud. Il aura désormais accès à la liste de tous vos appareils associés à votre Apple ID.


Là, il choisit une machine et ordonne qu'elle soit verrouillée. Ce qui sera fait dans les secondes qui suivent, sans que l'utilisateur du Mac en question ne puisse rien faire.

Cette possibilité de verrouillage distant est très intéressante lorsqu'on a égaré sa machine, puisqu'on peut en bloquer l'utilisation et provoquer l'affichage sur son écran d'un message à destination de quiconque l'allumera (on peut aussi la faire sonner s'il y a des chances qu'elle soit à proximité). Le fait qu'on puisse le faire en dépit de l'authentification à deux facteurs se comprend. Vous pouvez être dans une situation où vous avez égaré votre Mac et où vous n'avez pas d'appareil de confiance avec vous — par exemple votre iPhone — pour valider le message envoyé pour authentification et recevoir en échange le code à six chiffres.
Évidemment, si vos identifiants iCloud se promènent dans la nature, cette fonction peut-être aisément détournée de son objectif premier. D'où l'importance de varier ses mots de passe et d'en choisir de différents pour chaque création de compte effectuée.
Ôtez moi d’un doute, quand vous écrivez :
« Enfin, la méthode pour verrouiller. Il est relativement aisé de verrouiller à distance une machine qui n'est pas la sienne. Il suffit de connaître l'Apple ID d'un utilisateur »
Le mot de passe associé à l’Apple ID n’est il pas indispensable pour verrouiller une machine?
@romain31000
Il faut bien identifiant et mot de passe
@r e m y
Et c’est la que l on remercie les gestionnaires de mot de passe ?
s'il peut se connecter à iCloud pour verrouiller l'ordinateur il a le mot de passe pour le verrouiller si j'ai tout compris
Je n’ai pas compris. Si on a l’authentification à double facteur, comment est-il possible d'accéder aux données de localisation sans avoir à saisir un code envoyé sur un appareil de confiance ?
Edit : je crois que j’ai compris mais du coup je suis déçu, l’authentification à double facteurs est loin d’être aussi sûre que je le pensais. Cela ne devrait pas être possible d’accéder aux données de localisation sans l’envoi d’un code sur un mail au minimum.
@sinbad21
Parce que le code de l'authentification à 2 facteurs n'est pas necessaire pour la fonction "Localiser mon Mac" (et elle seule), de facon à pouvoir l'utiliser même si c'est justement son "appareil de confiance" que l'on a perdu et que l'on veut bloquer (ou simplement localiser)
@remy
Oui j’ai compris j’ai édité mon message. Eh bien ce ne devrait quand même pas être possible, il faudrait un code envoyé sur un mail ou sur un autre numéro de téléphone par exemple, sinon c’est trop facile de bloquer un appareil.
@sinbad21
Enfaite c'est plus compliqué que ça. Parce qu'imaginons que tu n'ai qu'un iPhone et que ce soit cet appareil qui soit ton deuxième facteur, si tu te le fais voler, tu pourra jamais le verrouiller car tu ne pourra plus te connecter avec ton deuxième facteur.. CQFD.
En gros, utilisez une adresse et un mot de passe (robuste) unique pour votre AppleID et vous éviterez bien des soucis ;)
Il suffirait d’un mail ou d’un numéro de téléphone de secours, Google le propose avec son système à deux facteurs, pourquoi pas Apple ?
Le mot « enfaite » n'existe pas...
On écrit « en fait ».
Merci ;)
Donc l’idée c’est quoi au juste ? Désactiver la localisation de l’iPhone afin que personne ne puisse nuire à distance s’il est en possession d’identifiants iCloud ?
@Marimoon
Non... l'idée c'est de faire en sorte de ne pas se faire subtiliser son mot de passe.
L'autre idee, c'est d'expliquer qu'il ne faut surtout payer et qu'il suffit l'aller en AppleStore pour que le Mac soit débloqué (et pour un iPhone ou iPad, il suffit d'utiliser son code d'accès habituel)
Mêmes questions que les 3 premiers messages...
Je pense qu’un iPad ou un iPhone peut être piraté de la même manière. Et là, pas de clé USB miracle à brancher sur le Device. Une solution dans ce cas ?
@Giloup92
Oui... un iPhone ou iPad bloqué à distance, quand on le retrouve, il suffit de le déverrouiller avec son code habituel. Donc rien de particulier à faire.
@r e m y
Merci pour l'explication.
@Giloup92
Restauration complète, qui permettra de faire sauter le verrou et demandera de d’authentifier avec son Apple ID au redémarrage après réinstallation du système vierge. Dans ce cas pas de bobos, parce que (bien entendu) vous faites une sauvegarde systématique et régulière de votre appareil iOS...
Il n’y a que les Mac qui demandent un mot de passe inséré dans l’EFI durant le mode « perdu », du fait que la réinstallation du système pourrait sinon être faite sans connexion obligatoire aux serveurs d’Apple, voire si blocage avec OS Apple, réinstaller un Windows/Linux ou un autre disque dur, et la protection devenir inutile.
Donc est-ce que Localiser son Mac (de bureau) est si important à activer ? Sur un MacBook, je comprends la peur, mais à son bureau ?
Y'a-t-il d'autres fonctions liées à ce "Localiser son Mac" qui pourraient manquer si on désactivait l'option ?
@House M.D.
Non... il suffit de saisir le code de déverrouillage habituel de l'iPhone ou iPad!
Inutile de le restaurer.
@r e m y
Un vieux doute sur le coup, il y a bien longtemps que je n’ai pas révisé mes procédures…
L’article devrait mieux synthétiser. En clair avec nom d’utilisateur et mot de passe dans la nature et malgré l’authentification à deux facteurs, on peut vous emmerder en bloquant le Mac à distance en passant par le site web.
@rolmeyer
C'est exactement ça.
Super. Maintenant vous savez comment utiliser l’application iGeneration iOS de façon fonctionnelle sans payer la rançon ?
Je ne comprends pas : si le verrou se situe au niveau de la partition EFI, pour moi il suffit de repartitionner en GUID le disque ou le SSD, ce qui va effacer la partition EFI ET le disque système, puis de réinstaller avec une sauvegarde, non ?
Pages