Cela commence à devenir très sérieux. Eric Moret, un utilisateur de Mac, décrit sur sa page de blog une improbable et ultra sophistiquée attaque par Phishing dont il a été la victime, et il y a vraiment de quoi trembler du genou. Moret explique donc en détail sur cette page « Comment des escrocs ont transformé le propre système d’assistance d’Apple en arme pour contourner l’authentification à deux facteurs — et comment j’en ai presque réchappé ».

Tout commence par un simple SMS, plutôt douteux :

« Votre code de compte Apple est : 994977. Ne le partagez avec personne.
Code de vérification Apple 2FA »

Simultanément à ce SMS, Moret remarque que l’ensemble de ses appareils Apple (iPad, iPhone, Mac), « se sont tous illuminés de notifications de vérification — les pop-ups familiers qui apparaissent lorsqu’on tente de se connecter à votre identifiant Apple. » Et dans la foulée, un appel automatisé d’Apple fournit à l’infortuné utilisateur un second code 2FA par la voix. Tout semble donc indiquer que quelqu’un tente de rentrer en force sur le compte de l’utilisateur.

Apple Support comme cheval de Troie

C’est là que la petite affaire prend une tournure assez incroyable. Eric Moret reçoit dans les minutes qui suivent un appel en provenance d’Atlanta, la personne au bout du fil indiquant être de l’assistance d’Apple, une personne qui confirme que le compte « est attaqué » et qu’un second appel suivra bientôt. Lors du second appel, une personne au ton posé a guidé Moret durant toutes les étapes permettant de sécuriser le compte, ajoutant même un dossier Apple Support. Pendant cet appel, des mails de validation étaient envoyés, toujours en provenance d’Apple.

A un moment donné, le type du support Apple (ou disant faire partie du support Apple) demande à Moret de réinitialiser son mot de passe iCloud, ce qui est fait malgré une légère hésitation (« et si ? »). enfin un SMS est arrivé demandant à fermer le dossier de support. Ce SMS « comportait un champ pour le numéro de dossier. Ils m’ont demandé de le saisir et, pour renforcer ma confiance, m’ont lu les quatre derniers chiffres du dossier qui correspondaient à l’e-mail de confirmation du ticket. Tout semblait normal. La page d’assistance a rapidement affiché une liste d’étapes, certaines complétées, d’autres en cours ». Enfin, un Code de confirmation à 6 chiffres a été envoyé.

Dès la validation de ce code, un mail est arrivé dans la bal de l’utilisateur avec ce simple texte : « « Votre compte Apple a été utilisé pour se connecter à iCloud sur un Mac mini (2024). » Problème, Eric Moret ne possède pas de Mac Mini ! Sentant cette fois l’arnaque, l’utilisateur protège rapidement son système (réinitialisation du mot de passe) et indique à son interlocuteur (le faux membre du support Apple) qu’il ne souhaitait plus continuer la procédure. Malgré l’insistance du faux support, Moret tient bon et l’appel finit par se couper.

Ce récit incroyable montre bien certaines failles du système de sécurité d’Apple : n’importe qui ou presque peut se faire passer pour un membre du support et créer un dossier d’assistance.

Les mesures à prendre

Suite à sa mésaventure, Eric Moret donne plusieurs conseils que tout macuser serait bien inspiré de respecter :

Moret conseille donc de ne pas répondre :

• Aux appels non sollicités, même avec de vrais numéros de dossier
• Aux liens dans des SMS/e-mails concernant des problèmes de sécurité
• À toute demande d’un « code de confirmation » pendant un appel d’assistance
• Aux appels qui coïncident avec de vraies notifications de sécurité

, et ajoute qu’il faut toujours :

• Vérifier que le site possède un domaine légitime, indépendamment de la validité du certificat (appeal-apple.com ≠ apple.com)
• Ouvrir vous-même les dossiers, ne jamais faire confiance à un dossier initié par un tiers, même par Apple
• Surveiller les notifications de connexion des appareils

Enfin, Moret conseille aussi d’utiliser des clés de sécurité hardware comme les YubiKey, Google Titan, etc., qui sont de véritables pare-feu contre les attaques par phishing, même les plus sophistiquées.