L'une de nos lectrices s'est retrouvée il y a quelques jours confrontée au problème de ces Mac qui se retrouvent verrouillés à distance et dont l'accès pourra être rétabli après paiement d'une rançon en bitcoins.
Plusieurs cas s'étaient fait jour cet été et l'on croise encore des témoignages dans notre forum (lire aussi Attention à la vague de rançongiciel qui touche les appareils Apple). En discutant avec des techniciens de SAV Apple ou d'Apple Store, on se rend compte que le phénomène reste répandu du fait d'une négligence coupable des utilisateurs. L'un de ces interlocuteurs disait en voir passer assez régulièrement dans son échoppe.
L'occasion de refaire un point sur la façon dont ces tentatives d'extorsion ont lieu et comment s'en sortir.
D'abord le contexte. Ça commence par la réception d'un mail (légitime) d'Apple qui vous prévient que vos identifiants ont été utilisés lors d'une connexion web à iCloud. Suit un autre message (légitime aussi) avertissant que votre Mac a été verrouillé.
Lorsque vous l'allumez, le Mac démarre sur sa partition de restauration et ne propose rien d'autre qu'un écran gris où il faut saisir un code de déverrouillage. Sauf que vous n'avez pas ce code puisqu'il a été créé par un tiers inconnu. Le message en dessous des cases du code PIN est celui qu'aura tapé la personne tierce avec les instructions pour la contacter.
Dans le cas de notre lectrice et de ses compagnons d'infortune, il contenait une adresse Apple bidon mais fonctionnelle ("[email protected]"). Après envoi d'un mail elle a reçu une réponse automatique avec les détails du paiement à réaliser.
Ensuite, la solution. Il ne suffit pas de démarrer son Mac depuis un volume externe et de réinstaller un système sur le disque bloqué. Le verrou se trouve au niveau de la partition EFI, lue au tout début de la séquence de démarrage.
Apple, ses stores et ses revendeurs et centres de service agréés peuvent vous sortir de l'embarras. C'est une prestation parfois gratuite et rapide (il peut arriver qu'elle soit payante selon le type de partenaire Apple. Notre lectrice s'était vue proposer un devis de 78 € dans un Centre de Services Agréé mais en définitive, elle n'a rien payé. Elle a par contre dû attendre quelques jours). Seule obligation, il faut absolument que vous ameniez votre Mac avec sa facture d'achat, afin de prouver que vous en êtes bien le propriétaire.
Le technicien va installer sur une clef USB un code de déverrouillage généré par Apple et spécifique à la carte-mère de cette machine. Le Mac est démarré sur cette clef et cet outil va supprimer le blocage EFI.
Enfin, la méthode pour verrouiller. Il est relativement aisé de verrouiller à distance une machine qui n'est pas la sienne. Il "suffit" de connaître l'identifiant et le mot de passe d'un utilisateur.
Ces sésames ne se ramassent pas juste en se baissant mais disons que ça ne relève pas de l'impossible. Pour l'un de ces techniciens, la méthode de collecte de ces informations est tristement banale. Des utilisateurs vont aller s'enregistrer sur des sites pas franchement légaux et le faire avec les même identifiants que ceux qu'ils utilisent pour iCloud. Le cas classique des identifiants utilisés partout à l'identique par facilité.
Pour le méchant, une fois muni de ces identifiants, il lui suffit d'aller les utiliser sur icloud.com. Avec l'authentification à double facteur d'iCloud, la page va d'abord réclamer à ce visiteur un code à six chiffres, puisqu'il se connecte depuis une machine que ne connaît pas iCloud. Parallèlement, iCloud va vous prévenir par mail qu'un accès a été détecté (le mail type montré plus haut).
L'intrus n'a pas besoin de ce code PIN pour continuer ses basses œuvres. Certes, il lui sera impossible d'accéder à la presque totalité des services du portail d'iCloud mais il n'a besoin que de celui de localisation du Mac.
Sur cette même page il va donc cliquer sur l'option "Localiser mon iPhone" puis saisir à nouveau les identifiants iCloud. Il aura désormais accès à la liste de tous vos appareils associés à votre Apple ID.
Là, il choisit une machine et ordonne qu'elle soit verrouillée. Ce qui sera fait dans les secondes qui suivent, sans que l'utilisateur du Mac en question ne puisse rien faire.
Cette possibilité de verrouillage distant est très intéressante lorsqu'on a égaré sa machine, puisqu'on peut en bloquer l'utilisation et provoquer l'affichage sur son écran d'un message à destination de quiconque l'allumera (on peut aussi la faire sonner s'il y a des chances qu'elle soit à proximité). Le fait qu'on puisse le faire en dépit de l'authentification à deux facteurs se comprend. Vous pouvez être dans une situation où vous avez égaré votre Mac et où vous n'avez pas d'appareil de confiance avec vous — par exemple votre iPhone — pour valider le message envoyé pour authentification et recevoir en échange le code à six chiffres.
Évidemment, si vos identifiants iCloud se promènent dans la nature, cette fonction peut-être aisément détournée de son objectif premier. D'où l'importance de varier ses mots de passe et d'en choisir de différents pour chaque création de compte effectuée.
