iPhone ou Android : si vous vous faites voler votre smartphone, votre compte est en danger !

Publié le 02 mars 2023 à 12h00

Que ce soit un iPhone ou un Android, une personne qui vous dérobe votre smartphone pourrait compromettre votre compte ou accéder à vos données sans aucune difficulté.

Aux États-Unis, des malfrats exploitent cette faille pour accéder aux comptes Apple des victimes auxquelles ils ont volé l'iPhone. Mais le même problème existe sur les smartphones Android et les comptes Google.

Un simple code PIN…

De nombreuses victimes de vol d'iPhone ont ainsi remarqué que leur compte Apple avait été compromis, que leur mot de passe avait été changé et que le voleur avait accédé à d'autres applications, notamment bancaires. Pour y parvenir, ce dernier a simplement utilisé le code PIN de sa victime, ce qui lui a permis de modifier les mots de passe de certains comptes sans même les connaître. En effet, sur iOS, il est possible de modifier son identifiant Apple grâce au code PIN.

Même son de cloche sur Android. Une option dans les paramètres du compte Google permet d'utiliser le PIN qui déverrouille l'écran du téléphone pour modifier le mot de passe du compte. Si ce processus invite d'abord à saisir le mot de passe actuel, l'utilisation de l'option « Mot de passe oublié » permet d'outrepasser cette étape et de se servir du code PIN à la place.

Pour exploiter cette vulnérabilité, il faut bien entendu connaître le code PIN de la victime. Il se trouve que des malfaiteurs sont au courant de ce procédé et usent de différentes ruses pour obtenir le code. Ils peuvent observer l'écran de leur cible en douce avant de passer à l'action, ou discuter avec cette dernière et l'amadouer pour qu'elle dévoile son code, souvent dans un contexte festif comme dans un bar.

Quelques conseils pour éviter le pire

« Nos politiques d'ouverture de session et de récupération des comptes tentent de trouver un équilibre entre la possibilité pour les utilisateurs légitimes de conserver l'accès à leurs comptes dans des scénarios réels et l'exclusion des mauvais acteurs », explique Google.

Afin de se prémunir des risques, il est conseillé d'avoir recours au Face ID ou au Touch ID en public. Il est également possible d'utiliser un code PIN plus long que la normale. Android permet ainsi d'aller jusqu'à 17 chiffres. Toujours sur cet OS, le système de déverrouillage par schéma peut être moins facile à déchiffrer.

Il est en outre préférable de faire en sorte que les codes PIN permettant d'accéder à des applications soient différents de celui utilisé pour déverrouiller votre téléphone. De manière globale, il est recommandé de ne pas stocker de documents importants sur son smartphone, à l'instar d'un RIB, ou d'une photo de la carte vitale, de la carte d'identité ou du passeport. Enfin, n'oubliez pas que vous pouvez rapidement localiser votre iPhone ou votre smartphone Android en cas de vol.

Sources : The Wall Street Journal, 9to5Google

Par Mathilde Rochefort

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Poster mon commentaire

Commentaires (5)

max6

d’ou l’intéret de ne pas utiliser la nouvelle carte d’identité électronique qui va être mise en place.
Sinon en publique j’utilise plutôt le lecteur d’empreinte, beaucoup plus difficile de lire le code par dessus mon épaule

Baxter_X

Concernant le code PIN, il n’y a pas une protection qui augmente le temps entre chaque essais à chaque échec?
Il me semble que si. Ce qui le rend bien plus robuste.

xryl

Si c’est un code PIN, c’est pour la carte SIM. Et là, il y a 3 essais, point barre. Et ça peut pas être le code PIN, vu qu’il suffirait d’échanger ta SIM avec une dont tu connais le PIN pour entrer.

Si c’est le code de déverrouillage, alors, là, c’est complètement différent, il y a bien une protection via un délai exponentiel entre chaque essai. Mais bon, si on connaît ton code de déverrouillage et que tu l’as utilisé partout, c’est game over (pareil qu’un mot de passe).
Le verrouillage par schéma, ça serait top si la trace de gras de tes doigts sur l’écran ne restait pas aussi visible.

Le vrai problème, c’est le 2FA systématique de tous ces comptes des GAFA. Ils valident systématiquement une connexion avec un code via SMS ou une page qui s’ouvre sur ton téléphone (pour Google). Donc ton téléphone déverrouillé, devient une clé pour tous tes comptes GAFA (plus de mot de passe). Au moins, avant, ils te demandaient la réponse à une question secrète, mais même plus.

RobinPrieur

Pour éviter cela (sur iPhone), on peut activer les paramètres qui permettent de bloquer l’accès au compte, l’accès au mots de passes, etc tout ça dans les réglages de temps d’écran.

Guillaume1972

J’espère que tu mets des gants lorsque tu prends un verre parce que tes empreintes sont assez facilement récupérables via ce procédé (par exemple grâce aux vapeurs de colle superglue) mais je m’égare, tout ça pour dire qu’aucun système de sécurité n’est fiable a 100%. En réalité, beaucoup de choses sont accessibles pour quelqu’un de « moyennement observateur ».Il y a et il y aura toujours une ou des failles et souvent la principale faille se trouve derrière les écrans, je m’inclu dans ce constat. Je me pose une petite question, est-ce que DGSI et DGSE font passer des tests de Q.I avant le recrutement de leurs agents ? Ça me paraît indispensable parce que je pense que certains agents peuvent être des « failles » coûtant cher pour un état. Mais je m’égare une seconde fois. Désolé.