Camille s'est fait voler son iPhone il y a quelques mois et notre lecteur avait depuis racheté un appareil, faute d'avoir pu retrouver le voleur. En utilisateur consciencieux, il avait évidemment activé la localisation iCloud, ce qui empêche théoriquement le brigand d'utiliser le téléphone.
Sur iCloud.com, son iPhone apparaissait toujours mais il ne répondait pas : son nouveau propriétaire avait sans doute désactivé le réseau, en attendant de trouver une solution. Un soir, le jeune homme a reçu un SMS d'Apple lui indiquant que l'appareil avait été localisé :
Il clique sur le lien et entre donc ses identifiants iCloud pour obtenir un aperçu sur Plans :
C'est à ce moment là que Camille a compris qu'il s'était fait hameçonné : ni le SMS ni le site de localisation n'étaient d'Apple. Quelques secondes plus tard, l'iPhone a disparu d'iCloud et a sans doute pu être restauré par son nouveau propriétaire... qui avait obtenu son mot de passe par la même occasion.
En réalité, le voleur a mis plusieurs semaines à trouver le code (à 4 chiffres), ce qui lui a permis de déverrouiller le téléphone. Ensuite, il a retrouvé le numéro de Camille dans ses contacts et envoyé le fameux SMS falsifié. Il faut avouer que l'ensemble de la chaine était assez bien ficelée, d'autant qu'aucun message ne paraissait vraiment suspect (pas de faute d'orthographe etc.).
Camille a retenu la leçon et en a tiré quelques enseignements qu'il a souhaité vous faire partager :
- Donnez un nom spécial à votre téléphone (Le SMS indique simplement « iPhone 6 plus gris sidéral » ce qui n’était pas le nom de l’appareil) - Ne cliquez pas sur des liens même SMS et vérifiez l’url de chaque page, même sous l’euphorie. - Utilisez un mot de passe différent sur CHAQUE site, mon mot de passe sera très probablement testé sur pleins de services - Désactivez l’affichage des notifications quand votre téléphone est verrouillé pour ne pas que le voleur voit des numéros de vos amis. - Utilisez la double identifications Apple. Dans les secondes ayant suivi mon erreur, j’ai reçu un mail d’Apple
Il faut également noter que l'utilisation d'un code à 4 chiffres ne protège pas le contenu de l'appareil sur le long terme. Même à la main, il ne faut en effet que quelques semaines pour tester toutes les combinaisons possibles.
