Noah Roskin-Frazee, un chercheur en sécurité, a trouvé une méthode pour escroquer Apple à hauteur de plusieurs millions de dollars. Il a été arrêté, comme le rapporte 404 Media.

iPhone 14 Pro Prise en Main Apple Store

Une arnaque visant Apple

Noah Roskin-Frazee a été accusé, avec un complice, d’avoir obtenu plus de 3 millions de dollars en produits et services par le biais de plus de deux douzaines de commandes frauduleuses. Ce montant comprend environ 2,5 millions de dollars en cartes-cadeaux et plus de 100 000 dollars en produits et services.

Dans le détail, le chercheur en sécurité et son complice ont utilisé en 2019 un outil de réinitialisation de mot de passe pour accéder à un compte d’employé appartenant à une entreprise non nommée, qui assure le support client pour Apple. Ce compte a permis d’obtenir d’autres informations d’identification de l’employé et Noah Roskin-Frazee a pu accéder aux serveurs VPN de l’entreprise. De là, il a pu s’introduire dans les systèmes d’Apple et passer des commandes frauduleuses de produits.

Il a été en mesure d’utiliser le système Toolbox d’Apple qui permet de modifier une commande une fois qu’elle a été réalisée. Il a fait le nécessaire pour changer les commandes et mettre un montant de 0 dollar. Le chercheur en a aussi profité pour ajouter des iPhone et Mac aux commandes, et a prolongé des assurances AppleCare. Toute cette histoire a eu lieu entre janvier et mars 2019.

Il se trouve qu’Apple a remercié Noah Roskin-Frazee pour avoir trouvé deux failles de sécurité dans macOS 14.2, une mise à jour qui est sortie en décembre. « Nous tenons à remercier Noah Roskin-Frazee et le professeur J. (ZeroClicks.ai Lab) pour leur aide », a écrit l’entreprise. Cette mention a été ajoutée moins de deux semaines après l’arrestation du chercheur en sécurité.

Potentiellement plus de 20 ans de prison

À l’arrivée, Noah Roskin-Frazee a été inculpé de fraude électronique, de fraude postale, d’association de malfaiteurs en vue de commettre une fraude électronique et une fraude postale, d’association de malfaiteurs en vue de commettre une fraude et un abus informatiques, et d’endommagement intentionnel d’un ordinateur protégé. Il se verra confisquer tous les biens volés et pourrait être condamné à plus de 20 ans de prison s’il est reconnu coupable