Que ce soit un iPhone ou un Android, une personne qui vous dérobe votre smartphone pourrait compromettre votre compte ou accéder à vos données sans aucune difficulté.
Aux États-Unis, des malfrats exploitent cette faille pour accéder aux comptes Apple des victimes auxquelles ils ont volé l'iPhone. Mais le même problème existe sur les smartphones Android et les comptes Google.
Un simple code PIN…
De nombreuses victimes de vol d'iPhone ont ainsi remarqué que leur compte Apple avait été compromis, que leur mot de passe avait été changé et que le voleur avait accédé à d'autres applications, notamment bancaires. Pour y parvenir, ce dernier a simplement utilisé le code PIN de sa victime, ce qui lui a permis de modifier les mots de passe de certains comptes sans même les connaître. En effet, sur iOS, il est possible de modifier son identifiant Apple grâce au code PIN.
Même son de cloche sur Android. Une option dans les paramètres du compte Google permet d'utiliser le PIN qui déverrouille l'écran du téléphone pour modifier le mot de passe du compte. Si ce processus invite d'abord à saisir le mot de passe actuel, l'utilisation de l'option « Mot de passe oublié » permet d'outrepasser cette étape et de se servir du code PIN à la place.
Pour exploiter cette vulnérabilité, il faut bien entendu connaître le code PIN de la victime. Il se trouve que des malfaiteurs sont au courant de ce procédé et usent de différentes ruses pour obtenir le code. Ils peuvent observer l'écran de leur cible en douce avant de passer à l'action, ou discuter avec cette dernière et l'amadouer pour qu'elle dévoile son code, souvent dans un contexte festif comme dans un bar.
Quelques conseils pour éviter le pire
« Nos politiques d'ouverture de session et de récupération des comptes tentent de trouver un équilibre entre la possibilité pour les utilisateurs légitimes de conserver l'accès à leurs comptes dans des scénarios réels et l'exclusion des mauvais acteurs », explique Google.
Afin de se prémunir des risques, il est conseillé d'avoir recours au Face ID ou au Touch ID en public. Il est également possible d'utiliser un code PIN plus long que la normale. Android permet ainsi d'aller jusqu'à 17 chiffres. Toujours sur cet OS, le système de déverrouillage par schéma peut être moins facile à déchiffrer.
Il est en outre préférable de faire en sorte que les codes PIN permettant d'accéder à des applications soient différents de celui utilisé pour déverrouiller votre téléphone. De manière globale, il est recommandé de ne pas stocker de documents importants sur son smartphone, à l'instar d'un RIB, ou d'une photo de la carte vitale, de la carte d'identité ou du passeport. Enfin, n'oubliez pas que vous pouvez rapidement localiser votre iPhone ou votre smartphone Android en cas de vol.
Sources : The Wall Street Journal, 9to5Google
