Fermer le menu
 

iCloud : débloquer le démarrage d'un Mac sans payer de rançon

Florian Innocente | | 15:40 |  61

L'une de nos lectrices s'est retrouvée il y a quelques jours confrontée au problème de ces Mac qui se retrouvent verrouillés à distance et dont l'accès pourra être rétabli après paiement d'une rançon en bitcoins.

Plusieurs cas s'étaient fait jour cet été et l'on croise encore des témoignages dans notre forum (lire aussi Attention à la vague de rançongiciel qui touche les appareils Apple). En discutant avec des techniciens de SAV Apple ou d'Apple Store, on se rend compte que le phénomène reste répandu du fait d'une négligence coupable des utilisateurs. L'un de ces interlocuteurs disait en voir passer assez régulièrement dans son échoppe.

L'occasion de refaire un point sur la façon dont ces tentatives d'extorsion ont lieu et comment s'en sortir.

D'abord le contexte. Ça commence par la réception d'un mail (légitime) d'Apple qui vous prévient que vos identifiants ont été utilisés lors d'une connexion web à iCloud. Suit un autre message (légitime aussi) avertissant que votre Mac a été verrouillé.

Lorsque vous l'allumez, le Mac démarre sur sa partition de restauration et ne propose rien d'autre qu'un écran gris où il faut saisir un code de déverrouillage. Sauf que vous n'avez pas ce code puisqu'il a été créé par un tiers inconnu. Le message en dessous des cases du code PIN est celui qu'aura tapé la personne tierce avec les instructions pour la contacter.

Dans le cas de notre lectrice et de ses compagnons d'infortune, il contenait une adresse Apple bidon mais fonctionnelle ("apple.help@europe.com"). Après envoi d'un mail elle a reçu une réponse automatique avec les détails du paiement à réaliser.

Ensuite, la solution. Il ne suffit pas de démarrer son Mac depuis un volume externe et de réinstaller un système sur le disque bloqué. Le verrou se trouve au niveau de la partition EFI, lue au tout début de la séquence de démarrage.

Apple, ses stores et ses revendeurs et centres de service agréés peuvent vous sortir de l'embarras. C'est une prestation parfois gratuite et rapide (il peut arriver qu'elle soit payante selon le type de partenaire Apple. Notre lectrice s'était vue proposer un devis de 78 € dans un Centre de Services Agréé mais en définitive, elle n'a rien payé. Elle a par contre dû attendre quelques jours). Seule obligation, il faut absolument que vous ameniez votre Mac avec sa facture d'achat, afin de prouver que vous en êtes bien le propriétaire.

Le technicien va installer sur une clef USB un code de déverrouillage généré par Apple et spécifique à la carte-mère de cette machine. Le Mac est démarré sur cette clef et cet outil va supprimer le blocage EFI.

Enfin, la méthode pour verrouiller. Il est relativement aisé de verrouiller à distance une machine qui n'est pas la sienne. Il "suffit" de connaître l'identifiant et le mot de passe d'un utilisateur.

Ces sésames ne se ramassent pas juste en se baissant mais disons que ça ne relève pas de l'impossible. Pour l'un de ces techniciens, la méthode de collecte de ces informations est tristement banale. Des utilisateurs vont aller s'enregistrer sur des sites pas franchement légaux et le faire avec les même identifiants que ceux qu'ils utilisent pour iCloud. Le cas classique des identifiants utilisés partout à l'identique par facilité.

Pour le méchant, une fois muni de ces identifiants, il lui suffit d'aller les utiliser sur icloud.com. Avec l'authentification à double facteur d'iCloud, la page va d'abord réclamer à ce visiteur un code à six chiffres, puisqu'il se connecte depuis une machine que ne connaît pas iCloud. Parallèlement, iCloud va vous prévenir par mail qu'un accès a été détecté (le mail type montré plus haut).

L'intrus n'a pas besoin de ce code PIN pour continuer ses basses œuvres. Certes, il lui sera impossible d'accéder à la presque totalité des services du portail d'iCloud mais il n'a besoin que de celui de localisation du Mac.

L'authentification à deux facteurs empêche d'accéder à quasiment tous les services d'iCloud. Localiser mon Mac reste disponible et c'est normal.

Sur cette même page il va donc cliquer sur l'option "Localiser mon iPhone" puis saisir à nouveau les identifiants iCloud. Il aura désormais accès à la liste de tous vos appareils associés à votre Apple ID.

Là, il choisit une machine et ordonne qu'elle soit verrouillée. Ce qui sera fait dans les secondes qui suivent, sans que l'utilisateur du Mac en question ne puisse rien faire.

Cliquer pour agrandir

Cette possibilité de verrouillage distant est très intéressante lorsqu'on a égaré sa machine, puisqu'on peut en bloquer l'utilisation et provoquer l'affichage sur son écran d'un message à destination de quiconque l'allumera (on peut aussi la faire sonner s'il y a des chances qu'elle soit à proximité). Le fait qu'on puisse le faire en dépit de l'authentification à deux facteurs se comprend. Vous pouvez être dans une situation où vous avez égaré votre Mac et où vous n'avez pas d'appareil de confiance avec vous — par exemple votre iPhone — pour valider le message envoyé pour authentification et recevoir en échange le code à six chiffres.

Évidemment, si vos identifiants iCloud se promènent dans la nature, cette fonction peut-être aisément détournée de son objectif premier. D'où l'importance de varier ses mots de passe et d'en choisir de différents pour chaque création de compte effectuée.

Catégories: 

Les derniers dossiers

Ailleurs sur le Web


61 Commentaires Signaler un abus dans les commentaires

avatar romain31000 09/10/2017 - 15:51 via iGeneration pour iOS

Ôtez moi d’un doute, quand vous écrivez :

« Enfin, la méthode pour verrouiller. Il est relativement aisé de verrouiller à distance une machine qui n'est pas la sienne. Il suffit de connaître l'Apple ID d'un utilisateur »

Le mot de passe associé à l’Apple ID n’est il pas indispensable pour verrouiller une machine?

avatar r e m y 09/10/2017 - 15:54 via iGeneration pour iOS

@romain31000

Il faut bien identifiant et mot de passe

avatar romain31000 09/10/2017 - 16:01 via iGeneration pour iOS

@r e m y

Et c’est la que l on remercie les gestionnaires de mot de passe 🙂



avatar Florian Innocente macG 09/10/2017 - 15:58 (edité)

Oui c'est vrai, quand je dis Apple ID c'était au sens ID + PWD bien sûr. Ce serait trop simple sinon. Je vais modifier.

avatar TKOTOK 09/10/2017 - 15:59 (edité)

s'il peut se connecter à iCloud pour verrouiller l'ordinateur il a le mot de passe pour le verrouiller si j'ai tout compris

avatar sinbad21 09/10/2017 - 15:58 (edité)

Je n’ai pas compris. Si on a l’authentification à double facteur, comment est-il possible d'accéder aux données de localisation sans avoir à saisir un code envoyé sur un appareil de confiance ?

Edit : je crois que j’ai compris mais du coup je suis déçu, l’authentification à double facteurs est loin d’être aussi sûre que je le pensais. Cela ne devrait pas être possible d’accéder aux données de localisation sans l’envoi d’un code sur un mail au minimum.

avatar r e m y 09/10/2017 - 15:56 via iGeneration pour iOS

@sinbad21

Parce que le code de l'authentification à 2 facteurs n'est pas necessaire pour la fonction "Localiser mon Mac" (et elle seule), de facon à pouvoir l'utiliser même si c'est justement son "appareil de confiance" que l'on a perdu et que l'on veut bloquer (ou simplement localiser)

avatar sinbad21 09/10/2017 - 16:12

@remy
Oui j’ai compris j’ai édité mon message. Eh bien ce ne devrait quand même pas être possible, il faudrait un code envoyé sur un mail ou sur un autre numéro de téléphone par exemple, sinon c’est trop facile de bloquer un appareil.

avatar sangoke 09/10/2017 - 16:18 via iGeneration pour iOS

@sinbad21

Enfaite c'est plus compliqué que ça. Parce qu'imaginons que tu n'ai qu'un iPhone et que ce soit cet appareil qui soit ton deuxième facteur, si tu te le fais voler, tu pourra jamais le verrouiller car tu ne pourra plus te connecter avec ton deuxième facteur.. CQFD.

En gros, utilisez une adresse et un mot de passe (robuste) unique pour votre AppleID et vous éviterez bien des soucis ;)

avatar sinbad21 09/10/2017 - 16:33

Il suffirait d’un mail ou d’un numéro de téléphone de secours, Google le propose avec son système à deux facteurs, pourquoi pas Apple ?

avatar EricdeB 09/10/2017 - 18:39

Le mot « enfaite » n'existe pas...
On écrit « en fait ».
Merci ;)

avatar Marimoon 09/10/2017 - 15:53 via iGeneration pour iOS

Donc l’idée c’est quoi au juste ? Désactiver la localisation de l’iPhone afin que personne ne puisse nuire à distance s’il est en possession d’identifiants iCloud ?

avatar r e m y 09/10/2017 - 15:58 via iGeneration pour iOS

@Marimoon

Non... l'idée c'est de faire en sorte de ne pas se faire subtiliser son mot de passe.
L'autre idee, c'est d'expliquer qu'il ne faut surtout payer et qu'il suffit l'aller en AppleStore pour que le Mac soit débloqué (et pour un iPhone ou iPad, il suffit d'utiliser son code d'accès habituel)

avatar TimeMachine 09/10/2017 - 15:54

Mêmes questions que les 3 premiers messages...

avatar Giloup92 09/10/2017 - 15:54 via iGeneration pour iOS

Je pense qu’un iPad ou un iPhone peut être piraté de la même manière. Et là, pas de clé USB miracle à brancher sur le Device. Une solution dans ce cas ?

avatar r e m y 09/10/2017 - 15:59 via iGeneration pour iOS

@Giloup92

Oui... un iPhone ou iPad bloqué à distance, quand on le retrouve, il suffit de le déverrouiller avec son code habituel. Donc rien de particulier à faire.

avatar Giloup92 09/10/2017 - 16:51 via iGeneration pour iOS

@r e m y
Merci pour l'explication.

avatar House M.D. 09/10/2017 - 16:01 via iGeneration pour iOS

@Giloup92

Restauration complète, qui permettra de faire sauter le verrou et demandera de d’authentifier avec son Apple ID au redémarrage après réinstallation du système vierge. Dans ce cas pas de bobos, parce que (bien entendu) vous faites une sauvegarde systématique et régulière de votre appareil iOS...

Il n’y a que les Mac qui demandent un mot de passe inséré dans l’EFI durant le mode « perdu », du fait que la réinstallation du système pourrait sinon être faite sans connexion obligatoire aux serveurs d’Apple, voire si blocage avec OS Apple, réinstaller un Windows/Linux ou un autre disque dur, et la protection devenir inutile.

avatar TimeMachine 09/10/2017 - 16:08

Donc est-ce que Localiser son Mac (de bureau) est si important à activer ? Sur un MacBook, je comprends la peur, mais à son bureau ?

Y'a-t-il d'autres fonctions liées à ce "Localiser son Mac" qui pourraient manquer si on désactivait l'option ?

avatar r e m y 09/10/2017 - 16:08 via iGeneration pour iOS

@House M.D.

Non... il suffit de saisir le code de déverrouillage habituel de l'iPhone ou iPad!
Inutile de le restaurer.

avatar House M.D. 09/10/2017 - 23:20 via iGeneration pour iOS

@r e m y

Un vieux doute sur le coup, il y a bien longtemps que je n’ai pas révisé mes procédures…

avatar rolmeyer 09/10/2017 - 16:01 via iGeneration pour iOS (edité)

L’article devrait mieux synthétiser. En clair avec nom d’utilisateur et mot de passe dans la nature et malgré l’authentification à deux facteurs, on peut vous emmerder en bloquant le Mac à distance en passant par le site web.

avatar r e m y 09/10/2017 - 16:05 via iGeneration pour iOS

@rolmeyer

C'est exactement ça.

avatar Madalvée 09/10/2017 - 16:11 via iGeneration pour iOS

Super. Maintenant vous savez comment utiliser l’application iGeneration iOS de façon fonctionnelle sans payer la rançon ?

avatar pecos 09/10/2017 - 16:13 (edité)

Je ne comprends pas : si le verrou se situe au niveau de la partition EFI, pour moi il suffit de repartitionner en GUID le disque ou le SSD, ce qui va effacer la partition EFI ET le disque système, puis de réinstaller avec une sauvegarde, non ?

Pages