Tim Cook a eu beau vanter la sécurité de l’iPhone durant son passage à VivaTech, cela ne veut pas dire que les smartphones d’Apple sont infaillibles. Cette affaire racontée par le journal Folha de S.Paulo et repérée par Mac4Ever en est la preuve.
Le gang de voleur qui inquiète São Paulo
Dans la ville de São Paulo, au Brésil, un gang de voleur d’iPhone fait actuellement des ravages. Les vols seraient de plus en plus nombreux dans la ville brésilienne, et les escrocs viseraient principalement des iPhone 11 et des iPhone XR. Jusque-là, rien d’anormal, d’autant qu’il s’agit de modèles récents, attrayants pour des voleurs. Néanmoins, la particularité de ce gang, c’est que les iPhone volés ne sont pas revendus en pièces détachées. Les escrocs s’en servent plutôt pour piller les comptes bancaires des anciens propriétaires des téléphones dérobés.
Pour l’heure, on ignore la méthode utilisée par ce gang de voleurs pour mettre à mal la sécurité d’un iPhone volé et accéder au compte bancaire qui y est relié. Quelques entreprises seulement sont parvenues à forcer l’ouverture du coffre-fort mis au point par Apple. La société israélienne Cellebrite, par exemple, et l’une des rares entreprises à y être arrivée. C’est notamment elle qui a permis au FBI d’accéder à l’iPhone du terroriste de San Bernardino, après qu’Apple ait refusé de coopérer.
La méthode de l’entreprise israélienne repose sur un outil vendu aux alentours de 6 000 dollars. Cependant, celui-ci n’est réservé qu’à des chercheurs en cybersécurité et des organismes gouvernementaux. Cet outil s’est néanmoins retrouvé sur eBay il y a peu à des prix largement inférieurs, et il y a donc des chances que ces voleurs s’en soient servis pour accomplir leurs méfaits. Quant à savoir comment ce gang parvient à accéder aux comptes bancaires de ses victimes, le mystère reste entier, mais les escrocs ne manquent généralement pas d’ingéniosité en la matière, même si la Fédération bancaire brésilienne affirme que les applications de banques sont parfaitement sécurisées.
🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.
Pour comprendre vu que les appareils de cellebrite sont fournis au force de l’ordre et leur implication,la réponse vous la trouverez dans la série nommée ” DOM” d’amazon prime vidéo.
Pour se connecter et vider les comptes bancaires ? Une fois le code de déverrouillage de secours trouvé (quand FaceID ne reconnais pas le visage), la boîte de Pandore est ouverte. 90% des utilisateurs iPhone utilise iCloud pour stocké ID et mot de passe de Connection de leurs différent compte sur le web. Il suffit d’aller dans réglages puis dans mot de passe. Il demandera alors le code de déverrouillage ou FaceID. Sachant que les hackeurs ont déjà trouvé le code de déverrouillage, ils le rentrent à nouveau… et là apparaît la liste de tous les id et mot de passe enregistré. Ils scrutent la liste et quand ils tombent sur une banque, ils vont dessus et ça sortira l’ID ou le mail utilisé et son mot de passe associé. Pour peux qu’un sms soit envoyé en double authentification… il atterrira sur l’iPhone volé…
Merci à Cellebrite de dé-sécuriser nos téléphones ;-( Puisqu’ils n’ont pas étés capables d’éviter que un de leur produit ne finisse entre de mauvaises mains, ils devraient êtres assignés à indemniser les victimes…
Tout à fait 🙂
Trouver le passcode pas compliqué* – il filme la personne à distance (avec de bonnes caméras) assis qq part etc.
– ils le suivent à la trace pour voir au moment où il tape le Passcode.
– ou ils volent le sac avec l’iPhone et souvent les gens notent aussi les mots de passes en clair dans les carnets…
Le plus difficile c’est d’obtenir le passcode.
Normalement les banques demandent plutôt un code Token, ce serait bizarre qu’ils utilisent un SMS …
Oui. Tout dépend des banques 🙂
Probable, surtout avec les masques et Faceid : on tape le code tout le temps. Ca explique plus le XR et le 11 que le 8 par exemple.
Pourquoi plus sur Apple que sur un autre système, la faille est la même partout alors dès qu’on a une reconnaissance faciale : peut-être que la plus part des Android sont sur l’empreint digitale et peut-être parce que Apple inspire plus confiance et qu’on leur met plus facilement des mots de passe à l’intérieur ou que les clients Apple sont réputés plus friqués et donc plus rentable ?
La méthode “Israélienne” est connue sur ses grands principes, elle prend quand même quelques heures voire jours. Peu probable que ce soit celle utilisée ici car dans le laps de temps l’utilisateur aura vu qu’il s’est fait volé et s’il est pas pas trop con aura mis son smartphone en mode volé.
J’ai tjs trouvé très con que le code de déverrouillage du téléphone soit celui qui face aussi code de vérification en cas de défaillance de FaceID. J’ai jamais compris pourquoi ils avaient mis un second code pour des conneries comme temps d’écran et pas pour quelque chose d’aussi sensible que l’accès au coffre fort des mots de passe.
LOL. Pardon mais lorsque la sécurisation met en oeuvre des forts chiffrements, comme c’est le cas sur les smarphones récents, encore faut-il que l’utilisateur ne protège pas sa machine par des codes du style”0000″ comme beaucoup….(trop)… d’utilisateurs irresponsables.
Le maillon faible de la sécurité c’est comme d’habitude l’utilisateur, surtout quand il s’en contrefiche et qu’il confie sa sécurité à des sous-traitants 🙂
Quant à la tarte à la crème d’un produit Cellebrite qui a été découvert dans la rue, pardonnez moi mais ça m’a fait beaucoup rire. Vous y croyez sérieusement ?
Par contre ceux qui se sont intéressés à cet épisode autrement en relayant des infos putaclic, il ne vous aura pas échappé que ce qui a été attaqué, ce n’est pas le logiciel de Cellebrite, mais une bibliothèque d’iTune qui permet de faire afficher des messages systèmes “personnalisés lors des traitements. On est loin du hack des données… mais très loin ! 🙂