Apple : comment des pirates débloquent les iPhone protégés par un compte iCloud ?

Apple-comment-des-pirates-débloquent-les-iPhone-protégés-par-un-compte-iCloud

Depuis 2013, Apple verrouille les iPhone avec un compte iCloud, empêchant ainsi les voleurs de se servir de l’appareil sans ce mot de passe. Malgré cela, il existe des solutions pour débloquer les smartphones.
Le prix des iPhone d’Apple augmente sans cesse, les maintenant comme des cibles de choix pour les voleurs. Pour rendre ses smartphones moins attractifs pour les criminels, Apple a mis en place un système quasi infaillible dès 2013. Un iPhone ne peut être rattaché qu’à un seul compte iCloud, et pour se déconnecter, il est obligatoire de saisir le mot de passe. Impossible de passer outre, même en réinitialisant la mémoire du téléphone. Un iPhone lié à un compte iCloud dont on ne dispose plus du mot de passe est dit « bloqué iCloud », et ne peut plus être revendu autrement que pour pièces détachées.

Il existe un grand marché pour les iPhone d’occasion, dont de nombreux bloqués iCloud. Cela ne signifie pas qu’il s’agit d’appareils volés. Ils proviennent également de retours clients, par exemple chez un opérateur de téléphonie mobile. Le service clients demande toujours que l’on supprime le compte iCloud, mais se retrouvent souvent avec des iPhone bloqués, impossibles à réutiliser. Ceux-ci alimentent le marché et se retrouvent souvent achetés par les magasins de réparation.
Des appareils difficiles à débloquer
Nos collègues de chez Motherboard ont mené l’enquête. Il existe trois manières de débloquer un iPhone lié à un compte iCloud. Tout d’abord en saisissant le mot de passe. Un manager d’une boutique Apple Store a également la possibilité d’outrepasser l’iCloud. Enfin, la troisième technique consiste à démonter le processeur pour le reprogrammer avec un nouveau numéro IMEI et le réinstaller. Cette dernière méthode est très complexe et longue, et n’est pas à la portée de la plupart des criminels, qui se focalisent donc sur les deux autres : obtenir le mot de passe, ou convaincre un manager de débloquer l’appareil.

La riposte s’est donc développée, mêlant techniques de piratage et ingénierie sociale. La première méthode, la plus basique, met certainement la victime un peu plus en danger si elle n’est pas coopérative. Plutôt que de simplement voler l’iPhone, un agresseur doit menacer la victime pour l’obliger à rentrer son mot de passe et se déconnecter de son compte iCloud. Si elle obtempère, il pourra revendre le smartphone à bon prix. Sinon, il devra le revendre pour pièces détachées.

Des kits vendus au marché noir pour tromper les victimes
Il existe cependant des attaques plus sophistiquées, avec des criminels organisés. Certains n’hésitent pas à récolter bon nombre d’informations sur le propriétaire de l’iPhone volé, et parviennent à tromper les employés des Apple Store pour qu’ils le débloquent. Bien entendu, cette technique ne fonctionne qu’un nombre limité de fois.

D’autres se retrouvent sur des forums ou salons de discussion pour partager les dernières astuces afin de tromper les victimes. Car la méthode la plus simple reste encore de convaincre le propriétaire de fournir son mot de passe. Il existe désormais des outils vendus sous forme de kit pour hameçonner la victime, conçus pour être faciles à utiliser. Ils peuvent envoyer un SMS à leur proie qui semble provenir d’Apple, et envoyer une carte censée indiquer l’emplacement ou l’iPhone a été retrouvé. Pour peu que la personne ne se rende pas compte de la supercherie, elle s’identifie sur ce qu’elle croit être le site d’Apple. Le tour est alors joué, et il suffit de saisir le mot de passe ainsi récupéré pour obtenir un iPhone prêt à être revendu.
CE QU’IL FAUT RETENIR
Il est possible de débloquer un iPhone verrouillé par un compte iCloud.
Les pirates utilisent trois méthodes distinctes pour s’approprier le mot de passe.
Le phishing appelé aussi « hameçonnage » est utilisé pour tromper la victime et récupérer le mot de passe.




Soyez le premier à commenter

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée.


*