Joanna Stern et Nicole Nguyen du Wall Street Journal ont publié un article (paywall) et accompagnant vidéo qui décrit une série troublante d’attaques signalées par des individus et des services de police visant les utilisateurs d’iPhone et pouvant faire des centaines, voire des milliers de victimes par an aux États-Unis.
Regardez la vidéo, mais en bref , un vaurien demande à quelqu’un dans un bar d’entrer le code d’accès de son iPhone pendant qu’il observe subrepticement (ou qu’un partenaire le fait pour lui). Ensuite, le voleur vole l’iPhone et se précipite. En quelques minutes, le voleur a utilisé le mot de passe pour accéder à l’iPhone et modifier le mot de passe de l’identifiant Apple, ce qui lui permet de désactiver Find My, d’effectuer des achats avec Apple Pay, d’accéder aux mots de passe stockés dans le trousseau iCloud et de parcourir les photos pour des photos de documents contenant un numéro de sécurité sociale ou d’autres détails qui pourraient être utilisés pour le vol d’identité. Après cela, ils peuvent transférer de l’argent depuis des comptes bancaires, demander une carte Apple, et plus encore, tout en bloquant complètement l’accès à leur compte.
Et oui, ils effaceront et revendront l’iPhone aussi. Presque aucun crime de ce genre n’a été signalé par les utilisateurs d’Android, un officier de police ayant émis l’hypothèse que c’était parce que la valeur de revente des téléphones Android était inférieure. Dans la vidéo, Joanna Stern a déclaré qu’un voleur avec le code d’accès à un téléphone Android pourrait accomplir des exploits similaires de vol d’identité et financier.
L’article du Wall Street Journal détaille trois types d’attaques, dont une seule est clairement évitable. Celui qui est fortement souligné dans l’article que je décris ci-dessus. Mais Stern et Nguyen ont également parlé à des victimes qui ont été droguées—un problème malheureusement courant—et a interrogé d’autres victimes de violences pour révéler leur code. En aucun cas, les victimes n’ont rien fait de mal, et quiconque fréquente des bars ou des lieux similaires dans les zones urbaines doit se méfier.
Compte tenu de la grande visibilité de la couverture du Wall Street Journal, je m’attends à ce qu’Apple corrige cette vulnérabilité. dans iOS 17, sinon avant. La solution évidente consiste à demander à l’utilisateur de saisir le mot de passe actuel de l’identifiant Apple avant d’autoriser sa modification dans Paramètres > Votre nom > Mot de passe et sécurité > Modifier le mot de passe. Cela ne bloquera pas l’accès au trousseau iCloud, mais au moins cela permettrait à l’utilisateur d’effacer l’iPhone.
Apple n’a probablement pas demandé le mot de passe actuel de l’identifiant Apple dans le passé, car le mot de passe est considéré comme un deuxième facteur sécurisé-vous avez l’iPhone et vous connaissez le code d’accès. En revanche, lorsque vous vous connectez au site identifiant Apple pour gérer votre compte, vous devez fournir votre mot de passe actuel, passer par l’authentification à deux facteurs, puis saisissez à nouveau le mot de passe actuel pour le modifier. Cela semble être un changement facile à faire, du moins jusqu’à ce qu’Apple ait eu la chance de réfléchir à d’autres options.
Le plus proche que nous ayons d’une étape de mot de passe supplémentaire est un Code d’accès à l’heure d’écran. Si vous activez Screen Time, définissez un mot de passe Screen Time à quatre chiffres distinct, activez les restrictions de contenu et de confidentialité et sélectionnez Modifications de compte> Ne pas autoriser, personne ne peut modifier votre mot de passe Apple ID sans ce mot de passe. Malheureusement, cela vous empêche même d’entrer dans Paramètres> Votre nom sans d’abord accéder à Paramètres> Temps d’écran> Restrictions de contenu et de confidentialité> Modifications de compte> ####> Autoriser. La plupart des gens ne supporteraient pas un tel ralentisseur.
Un autre défaut noté par Stern et Nguyen est que la nouvelle option de clé de sécurité matérielle d’Apple, si elle est activée, ne fonctionne pas toujours demander la clé matérielle lors des modifications si l’utilisateur dispose du code d’accès de l’appareil (voir « Apple lance iOS 16.3, iPadOS 16.3 et macOS 13.2 Ventura avec prise en charge de la clé de sécurité matérielle », 23 janvier 2023). La protection par clé de sécurité peut également être entièrement supprimée, sans avoir l’une des clés matérielles. Apple devrait réévaluer la manière dont cette option de haute sécurité, bien qu’elle ne soit utilisée que par un sous-ensemble d’utilisateurs, tient ses promesses.
Comment vous protéger
Vous pourriez penser que vous ne serait jamais victime d’un vol de montre, d’être drogué dans un bar ou à un rendez-vous, ou d’un crime violent. Mais le vol d’un mot de passe peut se produire dans d’autres circonstances. Et cela a des conséquences si graves, comme l’ont noté les journalistes du Wall Street Journal, que même si vous n’êtes pas un barfly ou que vous ne vivez pas dans une zone où l’incidence des vols de biens avec violence est élevée, je pense que tout le monde devrait faire le point sur ces moyens de dissuader les personnes malveillantes. utilisation de leur mot de passe :
Faites attention à la sécurité physique de votre iPhone en public. Ces attaques nécessitent à la fois votre mot de passe et la possession physique de votre iPhone. Beaucoup d’entre nous sont devenus blasés à l’idée d’exposer nos iPhones en public parce que nous les utilisons constamment et parce que tout le monde a aussi des smartphones. Apple a également fait un excellent travail avec le message qu’un iPhone est inutile pour un voleur en raison d’un mot de passe protégeant son contenu et d’un verrou d’activation garantissant qu’il ne peut pas être revendu intact-cela nous rend probablement moins préoccupés par sa sécurité même s’il y a un tracas et dépenses pour le remplacer. Il n’y a pas de bon moyen d’empêcher un voleur de saisir l’iPhone de votre main lorsque vous l’utilisez, mais si vous pouvez le garder dans une poche ou un sac à main lorsqu’il n’est pas utilisé, plutôt que de le tenir ou de le laisser sur la table dans devant vous, cela réduit le risque qu’un voleur vous cible. Utilisez toujours Face ID ou Touch ID en public. La clé de ces attaques consiste à acquérir le mot de passe de l’utilisateur ; le moyen le plus simple de le faire est d’observer ou d’enregistrer votre entrée. Si vous comptez entièrement sur Face ID ou Touch ID, en particulier en public, personne ne peut voler votre mot de passe sans que vous le sachiez. (La police pense que ceux qui sont drogués en buvant ont leur visage ou leurs doigts utilisés, mais cela ne révèle pas leurs codes d’accès.) Si vous avez évité Face ID ou Touch ID en raison d’une croyance erronée sur la sécurité de vos informations biométriques, je vous implore de l’utiliser. Vos informations d’empreintes digitales ou faciales sont stockées uniquement sur le périphérique dans Secure Enclave, qui est bien plus sécurisé que la saisie du mot de passe dans presque toutes les circonstances. Si vous êtes l’une des rares personnes pour qui Face ID ou Touch ID fonctionne mal, dissimulez votre mot de passe à toute personne qui pourrait regarder, comme vous le feriez lorsque vous entrez votre code PIN dans un guichet automatique. Envisagez un code d’accès plus fort : par défaut, les codes d’accès de l’iPhone sont à six chiffres. Vous pouvez rétrograder à quatre chiffres, ce qui est une mauvaise idée, mais vous pouvez également passer à un code d’accès alphanumérique plus long. Dans la vidéo, Joanna Stern le recommande, et cela pourrait rendre plus difficile pour quelqu’un d’observer subrepticement, mais je ne suis pas convaincu que la sécurité accrue vaudrait l’effort supplémentaire. Quelqu’un pourrait toujours vous enregistrer en train de saisir votre code d’accès alphanumérique, et plus il est long et difficile à saisir, plus cela prendra de temps et plus vous serez concentré sur sa saisie correcte, ce qui vous rendra moins conscient de votre environnement. (Il est intéressant de noter que si vous définissez un mot de passe alphanumérique avec seulement des chiffres, vous obtenez toujours un clavier numérique pour le saisir, alors que si vous ajoutez des caractères non numériques, vous devez utiliser le clavier complet.) Pourtant, je ne peux pas recommander la plupart des gens aller au-delà d’un code d’accès standard à six chiffres. Assurez-vous simplement que ce n’est pas quelque chose de trivialement facile à observer ou à deviner, comme 111111 ou 123456.
Ne partagez jamais votre mot de passe avec des membres de confiance de votre famille. Si vous ne donneriez pas à quelqu’un un accès complet à votre compte bancaire, ne lui donnez pas votre mot de passe. Si des circonstances extrêmes vous obligent à faire temporairement confiance à une personne extérieure à ce cercle, changez le mot de passe en quelque chose de simple dont ils se souviendront, même 123456, et remettez-le en place dès qu’ils rendront votre iPhone. Utilisez un gestionnaire de mots de passe tiers au lieu du trousseau iCloud. Cela me fait mal de recommander cette option car Apple continue d’améliorer l’interface du trousseau iCloud avec Paramètres> Mots de passe et Paramètres système/Préférences> Mots de passe. Mais jusqu’à ce que les systèmes d’exploitation protègent l’accès aux mots de passe iCloud Keychain avec plus que le mot de passe, s’appuyer sur iCloud Keychain n’est tout simplement pas assez sûr. En revanche, les gestionnaires de mots de passe tiers sécurisent vos mots de passe avec un mot de passe distinct. Même s’ils prennent en charge et que vous activez le déverrouillage biométrique, la solution de secours est le mot de passe du compte du gestionnaire de mots de passe, pas le code d’accès de l’appareil.
Supprimez les photos contenant des SSN ou d’autres numéros d’identification. Il est courant de prendre une photo de votre carte de sécurité sociale, de votre permis de conduire ou de votre passeport comme sauvegarde, juste au cas où vous perdriez la vraie chose. Ce n’est pas une mauvaise idée, mais stocker de telles images dans Photos les rend vulnérables à ces attaques. Au lieu de cela, stockez-les dans votre gestionnaire de mots de passe. Recherchez dans les photos sur SSN, TIN, EIN, permis de conduire et passeport, ainsi que votre numéro de sécurité sociale et d’autres numéros d’identification. Recherchez également sur Visa, MasterCard, Discover, American Express et les noms de toutes les autres cartes de crédit que vous pourriez avoir photographiées en tant que sauvegarde. (La recherche de texte dans Photos fonctionne sous macOS 13 Ventura et iOS 16. Pour les anciennes versions du système d’exploitation, essayez Photos Search ; consultez « Travailler avec du texte dans des images avec TextSniper et la recherche de photos », 23 août 2021.)
Ma réponse
Je passe mon temps là où se trouve ma bouche. Même si je suis très peu exposé à ces attaques, qui ciblent principalement les clients des bars dans les grandes villes et les habitants des zones où la criminalité de rue est fréquente, j’ai pris des mesures pour réduire mon exposition.
Premièrement , je compte déjà sur Face ID dans la mesure du possible, et je serai encore plus conscient de qui regarde en saisissant mon mot de passe si Face ID échoue et que je suis obligé de saisir mes chiffres secrets. Je suis déjà un peu gêné de sortir mon iPhone quand je suis en public quand je ne l’utilise pas, et je vais probablement le garder dans ma poche encore plus qu’avant.
Deuxièmement , j’ai décidé d’effacer tous mes mots de passe stockés dans le trousseau iCloud. Sur mon MacBook Air, je suis allé dans Paramètres système> Mots de passe, je les ai tous sélectionnés et j’ai appuyé sur Supprimer. (Vous pouvez également le faire dans le volet des paramètres de mots de passe de Safari.) Parce que je n’ai jamais utilisé sérieusement le trousseau iCloud, ce n’était pas une difficulté-tout était essentiellement aléatoire. Jusqu’à récemment, j’utilisais LastPass, mais après la violation de LastPass, je suis passé à 1Password et j’ai importé tous mes mots de passe LastPass (voir”LastPass partage les détails de la violation de sécurité”, 24 décembre 2022). J’avais déjà beaucoup de mots de passe stockés dans 1Password à partir de diverses importations et tests au fil des ans, ainsi que des coffres que je partage avec Tonya et Tristan. Chaque fois que j’utilise un mot de passe maintenant, je prends quelques minutes pour nettoyer les doublons et les déchets connexes, comme les mots de passe générés automatiquement.
Je réalise que ceux qui comptent sur iCloud Keychain ne seront pas à l’aise pour supprimer leurs mots de passe, mais Je peux dire que j’ai trouvé simple de passer à 1Password depuis LastPass, et 1Password propose des instructions pour exporter les mots de passe iCloud Keychain et les importer dans 1Password. Faites la danse de l’exportation/importation et vivez avec 1Password-ou le gestionnaire de mots de passe que vous choisissez-pendant une semaine ou deux pour vous assurer qu’il fonctionne pour vous avant de tout supprimer du trousseau iCloud. Si vous décidez de revenir au trousseau iCloud à l’avenir, c’est également possible.
Troisièmement, j’ai parcouru visuellement et utilisé des recherches de texte dans ma bibliothèque Photos pour les cartes d’identité et autres, en exportant quelques-unes pour les importer dans 1Password et en supprimant tout par la suite. (N’oubliez pas que Photos stocke les images supprimées dans l’album Récemment supprimés pendant environ 30 jours avant de les supprimer définitivement. Pour les supprimer immédiatement, sélectionnez les photos dans cet album et appuyez sur Supprimer.) J’ai trouvé mon permis de conduire, mon passeport, mes cartes de crédit, mes cartes d’assurance , et d’autres cartes de mon portefeuille. Assurez-vous de cliquer sur Tout afficher après avoir effectué une recherche de photos s’il y a plus d’une poignée de résultats. J’ai même cherché sur la carte et fait défiler quelque 500 photos pour en trouver quelques-unes qui échappaient à d’autres recherches. (Qui savait que je prenais autant de photos contenant du carton ?)
J’ai brièvement envisagé de déplacer ces images sensibles vers l’album Caché dans Photos et d’utiliser la nouvelle option iOS 16/Ventura pour protéger cet album avec Face ID ou Touch IDENTIFIANT. Malheureusement, lorsque j’ai testé plusieurs échecs de Face ID sur mon iPhone, j’ai finalement été invité à entrer mon mot de passe, qui a révélé l’album Hidden. C’est un autre exemple de la façon dont le mot de passe est la clé de votre royaume.
Bien que le risque qu’une personne donnée devienne la proie de ce type d’attaque soit extrêmement faible, et que je ne m’inquiète pas vraiment pour moi, le Les reportages du Wall Street Journal m’ont amené à réfléchir et à nettoyer mes hypothèses et comportements de sécurité plus larges. J’ai apprécié le coup de pouce et je vous encourage également à réfléchir à votre situation en matière de sécurité.