Des escrocs exploitent une faille du système d'assistance d'Apple pour voler des comptes iCloud. L'arnaque, de l'hameçonnage ultra-sophistiqué, utilise de vrais tickets officiels spour tromper les utilisateurs, même les plus avertis.
Un mercredi après-midi ordinaire, Eric Moret a failli perdre l'accès à toute sa vie numérique. Après avoir reçu un code de vérification Apple non sollicité, des pirates avaient, trente minutes plus tard, obtenu l'accès à son compte iCloud, ses photos et ses e-mails. L'escroquerie, assez redoutable, exploite une faille du système de support officiel d'Apple pour tromper même les utilisateurs les plus vigilants. Qu'on se le dise, les malfrats savent détourner les propres outils d'Apple pour piéger leurs victimes.
Un code Apple par SMS déclenche une arnaque au phishing ultra-sophistiquée en quelques minutes
Sur un billet publié sur Medium, Eric Moret explique sa mésaventure, qui débute pour lui à 15h17, avec la réception soudaine d'un code de vérification Apple à deux facteurs arrivé par SMS. Sauf qu'Eric n'essayait pas de se connecter où que ce soit. Une minute plus tard, son téléphone sonne, avec dans l'écouteur un message automatisé d'Apple qui lui dicte vocalement un autre code 2FA (authentification à multiples facteurs). En même temps, ses iPhone, Mac et iPad reçoivent tous des notifications de connexion suspectes.
À 15h21, un numéro d'Atlanta (Eric est basé aux États-Unis) appelle. L'interlocuteur se présente comme l'assistance d'Apple et lui dit : « Votre compte est attaqué. Nous ouvrons un ticket pour vous aider. Quelqu'un vous contactera sous peu. » L'appel dure très exactement vingt-huit secondes. Juste le temps de planter la graine de l'inquiétude, sans éveiller les soupçons.
Dix minutes plus tard, rebelote. Cette fois, la conversation s'étire sur vingt-cinq minutes. Le faux agent reste d'un calme olympien, adopte un ton professionnel rassurant. Puis il sort son atout maître, à savoir la création au nom d'Eric d'un vrai ticket d'assistance Apple, avec un numéro de cas tout à fait vérifiable. L'e-mail de confirmation vient directement des serveurs d'Apple. Mais comment est-ce possible ?
L'arnaque Apple exploite une faille béante du système de support
Quel est le tour de force technique ? En fait, n'importe qui peut générer un ticket d'assistance Apple au nom de n'importe qui, sans la moindre vérification d'identité. Les pirates créent donc un dossier légitime et y collent l'adresse e-mail de leur cible. Voilà comment la victime reçoit un authentique message d'Apple, avec un numéro de cas valide et tout le tralala officiel.
Eric vérifie pendant l'appel. L'expéditeur est bien Apple, le numéro de ticket fonctionne sur le site officiel. L'arnaqueur le guide alors vers la réinitialisation de son mot de passe iCloud. Eric hésite, demande à deux reprises si son compte est vraiment compromis. À chaque fois, la réponse tombe. Les multiples codes 2FA reçus quinze minutes plus tôt rendent le scénario plausible et font tomber la méfiance, ce qui est normal. Et surtout, l'escroc ne demande jamais le code 2FA et laisse Eric effectuer la manipulation lui-même. Ce qui achève de le convaincre.
Puis l'arnaqueur annonce qu'un SMS va transmettre un lien pour clôturer le dossier. Le message arrive sur appeal-apple[.]com. Le site imite parfaitement le design Apple, affiche le HTTPS avec certificat valide. La page affiche les étapes de sécurisation avec des coches vertes : ticket ouvert, compte gelé, mot de passe modifié. Seule la dernière case reste en attente. Une mise en scène visuelle d'une redoutable efficacité psychologique.
Comment se protéger contre cette escroquerie ultra-sophistiquée
L'escroc prévient qu'un code de confirmation va arriver pour finaliser la procédure. En coulisses, les pirates tentent à cet instant précis de se connecter au compte d'Eric. Cette tentative déclenche l'envoi automatique d'un vrai code 2FA par Apple. Le SMS débarque illico. Mais alors qu'Eric croit clôturer un ticket, en saisissant ces six chiffres sur le site frauduleux, il livre en fait en direct le sésame aux escrocs. Ceux-ci l'utilisent immédiatement pour accéder à son compte.
Quelques secondes plus tard, un e-mail d'Apple le fait blêmir. « Votre compte Apple a été utilisé pour se connecter à iCloud sur un Mac mini (2024) », lit-il. Un appareil qu'il ne possède pas. Le prétendu code de clôture était en réalité le code d'authentification donnant accès total à son compte.
Il comprend instantanément le piège, change son mot de passe dans la foulée, et raccroche net. Le Mac mini fantôme disparaît alors de sa liste d'appareils connectés. Il vient d'échapper de justesse à ce qu'il qualifie lui-même de « catastrophe massive ».
Pour vous protéger, d'abord, raccrochez systématiquement à la réception de tout appel non sollicité prétendant venir d'Apple, puis contactez directement le support officiel. Ensuite, ne communiquez jamais vos codes d'authentification, même à un supposé agent Apple. Ces codes sont strictement personnels. Puis vérifiez qu'un site appartient réellement au domaine apple.com, car la présence d'« apple » dans l'URL ne suffit pas. Et pour une sécurité maximale, vous pouvez très bien vous munir d'une clé d'authentification physique compatible. Celle-là, les escrocs ne pourront jamais la voler à distance.
