Des escrocs ont trouvé le moyen de détourner de vraies notifications de sécurité Apple pour faire croire à un achat frauduleux, inciter leurs victimes à appeler un faux service d’assistance, puis leur soutirer numéro de CB et autres informations personnelles.

tete_escape / Shutterstock
tete_escape / Shutterstock

Apple n’a pas envoyé ce mail par erreur, et c’est bien là le problème. Repérée par BleepingComputer, une nouvelle campagne de phishing détourne les notifications de sécurité de la firme de Cupertino pour diffuser de faux avis d’achat frauduleux, puis pousser les destinataires à appeler un numéro de support contrôlé par des escrocs. Un piège qui repose sur la réutilisation d’un message expédié par Apple elle-même, dont le contenu a été manipulé en amont pour donner à l’arnaque l’apparence d’une alerte parfaitement légitime.

Une vraie notification Apple comme vecteur d’arnaque au faux support

D’après les éléments relayés par BleepingComputer, les escrocs créent d’abord un compte Apple, puis remplacent le prénom et le nom du titulaire par un message frauduleux évoquant l’achat d’un iPhone à 899 dollars, assorti d’un numéro à appeler. En modifiant ensuite les informations de livraison du compte, ils déclenchent l’envoi d’une notification de sécurité Apple qu’ils reçoivent eux-mêmes, et dans laquelle ce texte s’affiche à la place des informations d’identité du titulaire.

Il leur suffit alors de rediffuser ce message à d’autres destinataires, vraisemblablement via des listes de diffusion. Comme le mail a bien été généré et envoyé par Apple, il passe les vérifications SPF, DKIM et DMARC. Les personnes qui le reçoivent n’ont donc pas affaire à une imitation grossière, mais à une vraie notification Apple, réutilisée pour donner au faux avis d’achat une apparence parfaitement légitime et pousser les cibles à appeler un numéro renvoyant vers une arnaque au faux support.

Les arnaqueurs n’ont plus ensuite qu’à soutirer des informations bancaires ou des données personnelles à leurs victimes, voire à leur faire installer un outil d’accès à distance pour prendre le contrôle de leur appareil.

Malgré son apparente légitimité, ce mail frauduleux émane en réalité de cybercriminels. Le champ "To:" prouve qu'il ne s'agit pas d'une alerte Apple directe, mais bien d'un message authentique relayé par une liste de diffusion. © BleepingComputer
Malgré son apparente légitimité, ce mail frauduleux émane en réalité de cybercriminels. Le champ "To:" prouve qu'il ne s'agit pas d'une alerte Apple directe, mais bien d'un message authentique relayé par une liste de diffusion. © BleepingComputer

Que faire si ce type de mail tombe dans votre boîte de réception

Comme d’habitude, les escrocs cherchent ici à jouer sur l’urgence et à faire croire qu’un tiers a utilisé le compte pour effectuer un achat hors de prix. Et comme d’habitude, à la réception de ce type de message, il ne faut surtout pas appeler le numéro affiché, ni chercher à régler le problème depuis le mail lui-même. Il faut ouvrir directement son compte Apple depuis le site officiel ou l’application, puis vérifier l’historique des achats, les informations de livraison et les appareils associés.

En cas de doute persistant, vous pouvez toujours consulter les pages d’assistance officielles d’Apple, à ouvrir manuellement depuis votre navigateur, et non depuis les coordonnées fournies par le mail.

Enfin, n’oubliez jamais qu’aucun service d’assistance légitime ne vous demandera vos coordonnées bancaires, un code d’authentification ou l’installation d’un logiciel de prise en main à distance sous prétexte de sécuriser votre compte. Si cela arrive, raccrochez illico presto.

À découvrir
Meilleur antivirus : le comparatif en avril 2026
Comparatifs services
Foire aux questionsContenu généré par l’IA
À quoi servent SPF, DKIM et DMARC dans la sécurité des e-mails, et pourquoi un message frauduleux peut quand même les « passer » ?

SPF, DKIM et DMARC sont des mécanismes d’authentification qui aident à vérifier qu’un e-mail provient bien d’un serveur autorisé pour un domaine, et qu’il n’a pas été altéré pendant le transport. SPF contrôle les serveurs d’envoi autorisés, DKIM ajoute une signature cryptographique, et DMARC définit la politique à appliquer si les contrôles échouent. Si un e-mail est réellement envoyé par l’infrastructure d’Apple, ces vérifications peuvent être valides même si le contenu a été « piégé » avant l’envoi. Autrement dit, ces protections limitent l’usurpation de domaine, mais ne garantissent pas que le message est légitime sur le fond.

Comment un champ de profil (nom, adresse) peut-il être détourné pour injecter un message dans une notification de sécurité ?

De nombreux e-mails automatisés réutilisent des données de compte (nom, prénom, adresse de livraison) en les insérant dans un modèle de notification. Si ces champs ne sont pas strictement validés (longueur, caractères autorisés, format), un acteur malveillant peut y placer un texte qui ressemble à une alerte, un numéro à appeler ou une instruction. Ce n’est pas forcément une faille « d’exécution de code », mais un problème de validation et de mise en forme des données affichées dans un e-mail. Le résultat : un message techniquement authentique, mais sémantiquement trompeur, car il affiche des informations manipulées.

Qu’est-ce qu’une arnaque au faux support (tech support scam) et pourquoi l’accès à distance est un levier si dangereux ?

Une arnaque au faux support consiste à se faire passer pour un service d’assistance afin de pousser la victime à divulguer des informations sensibles ou à effectuer des actions risquées. Le scénario classique combine urgence (achat frauduleux, compte compromis) et canal de contact contrôlé par l’escroc (numéro de téléphone, chat, lien). L’installation d’un outil d’accès à distance permet ensuite de voir l’écran, guider la victime, voire prendre la main pour modifier des paramètres, voler des données ou valider des paiements. Même sans « piratage » complexe, cette prise de contrôle contourne beaucoup de protections, car l’action est réalisée depuis la session de l’utilisateur.