N’utilisez jamais l’identifiant Apple d’une autre personne sur votre iPhone

Voici comment les cybercriminels ont bloqué l’iPhone de Marcie, et quelques conseils pour que vous ne subissiez pas le même sort.

Toute personne ayant un appareil Apple doit avoir un identifiant Apple. On pourrait dire qu’il s’agit d’un passeport qui vous permet de voyager dans le monde d’Apple. Vous avez besoin de votre identifiant Apple pour y accéder, et il vous donne également certains droits. Vous devriez prendre soin de votre identifiant comme s’il s’agissait d’un passeport : ne le prêtez à personne, et n’utilisez pas celui de quelqu’un d’autre.

Le premier aspect semble évident. En donnant votre identifiant Apple, vous n’êtes plus la seule personne pouvant accéder à vos appareils, vos données, vos abonnements, etc. Cependant, beaucoup se demandent pourquoi ils ne devraient pas saisir l’identifiant Apple d’une autre personne sur leur iPhone ou iPad. Prenons l’histoire de Marcie comme exemple.

Vendre un iPhone

Après avoir pris soin de son iPhone X pendant un an, Marcie a décidé de le vendre. C’était vraiment récent, et elle n’avait qu’à acheter la version supérieure en choisissant entre le modèle XS ou XR. Son premier réflexe a été d’utiliser eBay, puis de publier une annonce sur Craigslist pour faire bonne mesure.

Puis elle a dû réfléchir au prix. Le téléphone était dans un très bon état, alors elle a décidé de viser haut. Elle n’avait pas passé un an à le chouchouter pour rien. Pas une seule égratignure ! Bien sûr, trouver un acheteur pourrait prendre un certain temps, mais Marcie n’était pas pressée.

Elle a été particulièrement surprise de voir qu’elle avait une offre dès le lendemain. Une femme polie lui a écrit disant que son mari voulait vraiment acheter l’iPhone, mais qu’il était très occupé, et ne pourrait pas passer avant la fin de la semaine prochaine. Il était particulièrement intéressé puisque l’appareil était en parfait état. Il souhaitait réaliser un premier paiement en avance, puis récupérer le téléphone plus tard. La dame a demandé à Marcie de saisir l’identifiant Apple de son mari dans l’appareil pour vérifier qu’il fonctionnait bien. Si tout est bon, elle réalisera ce premier virement sur-le-champ.

Marcie était ravie ; elle pensait qu’elle allait devoir attendre plusieurs semaines, alors que 24 heures plus tard tout était réglé. La dame en question lui a envoyé l’identifiant Apple et le mot de passe de son mari. Marcie s’est demandé pourquoi ces personnes communiquaient aussi facilement des données aussi précieuses à une parfaite inconnue, mais ce n’était pas son problème. Elle a donc saisi les renseignements dans son téléphone, et a dit à la personne que tout était prêt pour procéder à la vérification.

Puis quelque chose d’inattendu est arrivé. Un message s’est affiché sur l’écran de l’iPhone. L’appareil était bloqué, et Marcie devait envoyer un e-mail à telle personne pour le déverrouiller. Il était impossible de sortir de cet écran noir, et de cette triste nouvelle. Le téléphone était bloqué, un point c’est tout.

La « femme polie », c’est-à-dire le faux compte, ne répondait plus aux messages de Marcie. Alors Marcie a envoyé un message à l’adresse e-mail indiquée, qui lui a répondu qu’elle devait virer une belle somme en crypto-monnaie pour débloquer son téléphone.

Marcie a pris le temps d’y réfléchir. Rien ne garantissait qu’elle n’allait pas tomber à nouveau dans un piège. Son iPhone était sur la table, tel une brique inutile, complètement indifférent à ses tourments intérieurs. En plus de ne pas savoir si elle devait verser cet argent ou non, elle s’en voulait d’avoir été si facilement manipulée.

Attention aux étrangers qui communiquent leur identifiant Apple

Dès que vous laissez quelqu’un saisir son identifiant Apple sur votre appareil, vous n’en n’êtes plus le propriétaire. De plus, si cette personne est un cybercriminel, elle ne va pas renoncer si facilement. Après avoir leurré la victime, les escrocs bloquent l’appareil en utilisant la fonction « Localiser mon iPhone » disponible sur iCloud.

Cette fonction est censée afficher vos contacts sur l’écran pour que la personne ayant trouvé votre téléphone perdu puisse vous joindre et vous le rendre, mais aussi l’empêcher de consulter vos données en toute liberté.

Il est évident que dans ce cas l’appareil n’a pas été égaré. Dès que la victime saisit l’identifiant Apple de quelqu’un d’autre, l’iPhone est immédiatement ajouté à la liste des appareils associés à cette personne sur iCloud et, par conséquent, elle peut faire ce qu’elle veut. C’est ainsi qu’une fonction pratique peut être utilisée à des fins néfastes. Les cybercriminels peuvent s’en servir pour bloquer les iPhones et iPads, puis demander le paiement d’une rançon.

Vous devriez faire attention lorsque vous vendez des appareils d’occasion, mais ce n’est pas la seule situation. Une méthode d’ingénierie sociale que les escrocs aiment beaucoup consiste à se rapprocher des utilisateurs Apple sur les forums liés à ce sujet, et à leur demander de saisir leur identifiant Apple, en utilisant différentes excuses telles que « mon téléphone est mort, mes contacts sont sauvegardés sur iCloud, et je dois appeler mon patron immédiatement. Aidez-moi s’il vous plaît », ou un message similaire.

Vous pensez sûrement que si vous connaissez l’identifiant Apple, et le mot de passe des cybercriminels, vous n’avez qu’à vous connecter à la version web de iCloud, et arranger les choses. Non ; le compte des escrocs est protégé par une authentification à deux facteurs. Pour vous connecter à leur iCloud, vous devez également saisir le mot de passe envoyé à leurs appareils. Ils sont évidemment les seuls à y avoir accès, et connaître leur identifiant Apple n’est pas suffisant.

Morale de l’histoire : ne saisissez jamais l’identifiant Apple d’une autre personne sur votre appareil, même si on vous le demande poliment.

Conseils