Un utilisateur, Eric Moret, a récemment détaillé sa mésaventure dans Medium, décrivant une tentative de phishing d'une sophistication rare. L'opération, qui a failli lui coûter l'accès à l'ensemble de son écosystème numérique, met en lumière une méthode particulièrement pernicieuse. Les pirates ne se contentent plus d'imiter Apple : ils utilisent ses propres services pour rendre leur piège presque indétectable, même pour les plus prudents.
Comment les pirates initient-ils le contact pour paraître crédibles ?
Tout commence par une avalanche de notifications calculée pour déstabiliser la cible. La victime reçoit d'abord un SMS contenant un code de vérification Apple qu'elle n'a pas sollicité, immédiatement suivi de multiples alertes de connexion suspecte sur l'ensemble de ses appareils, de l'iPhone au Mac.
Ce bombardement a pour but de créer un sentiment d'urgence et de confusion. Quelques minutes plus tard, un appel téléphonique survient. Un interlocuteur au ton très professionnel, se présentant comme un employé du support Apple, informe la cible que son compte est sous attaque. Il annonce qu'un dossier d'assistance va être ouvert pour l'aider, installant ainsi les bases de la manipulation à venir.
Quelle est l'astuce maîtresse pour tromper la vigilance de la victime ?
C'est ici que l'ingéniosité de l'arnaque se révèle pleinement. Les pirates exploitent une faille dans le processus du système d'assistance de la firme californienne : n'importe qui peut ouvrir un ticket de support au nom d'une autre personne, sans qu'aucune vérification d'identité ne soit requise au préalable.
L'escroc crée donc un dossier légitime en utilisant le nom et l'adresse e-mail de sa cible. Par conséquent, la victime reçoit un véritable courriel provenant des serveurs d'Apple, avec un numéro de dossier valide et vérifiable sur le site officiel. L'arnaqueur, toujours au téléphone, demande alors à sa cible de vérifier sa boîte de réception, ce qui achève de la convaincre de son authenticité. Le piège est alors parfaitement en place.
Comment se referme le piège final ?
Une fois la confiance totalement établie, l'escroc guide sa proie vers la réinitialisation de son mot de passe iCloud, sous prétexte de sécuriser le compte face à l'offensive en cours. Fait crucial, il ne demande jamais directement le code d'authentification, ce qui renforce l'illusion d'une procédure de sécurité standard.
L'étape finale consiste à "clore le dossier". Un SMS est envoyé avec un lien menant vers un faux site, parfait sosie du portail Apple. Pour finaliser la procédure, la victime est invitée à saisir un dernier code de vérification à six chiffres, reçu au même moment. Ce code n'est autre que le code d’authentification à deux facteurs déclenché par les pirates qui tentent de se connecter en temps réel. En le saisissant, la victime leur livre, sans le savoir, l'accès complet à son compte.
Heureusement, Eric Moret a réagi instantanément en voyant une alerte de connexion provenant d'un appareil inconnu. Il a immédiatement changé son mot de passe une nouvelle fois, coupant l'herbe sous le pied des cybercriminels et évitant une catastrophe numérique. Cette histoire souligne l'importance d'une méfiance absolue face aux appels non sollicités. Il ne faut jamais communiquer un code de vérification par téléphone et toujours contacter soi-même le support officiel par les canaux habituels en cas de doute.
