iPhone : cette arnaque vous piège avec un vrai appel d’Apple
Tout semblait vrai et pourtant…
En août, nous vous avions alerté sur la hausse des arnaques liées aux QR codes. Il suffisait parfois d’un autocollant collé sur une borne de paiement pour rediriger les utilisateurs vers un faux site. Cette méthode, appelée quishing, a prouvé qu’une simple étape glissée dans votre routine suffisait à voler vos données. Une nouvelle attaque, encore plus poussée, vient d’être révélée. Cette fois, ce sont les véritables notifications d’Apple qui servent de tremplin aux arnaqueurs.
Une fausse assistance parfaitement synchronisée
L’attaque commence par une série de notifications à deux facteurs qui s’affichent en même temps sur l’iPhone, l’iPad et le Mac d’un utilisateur cible. Chaque message indique qu’une tentative de connexion à son identifiant Apple est en cours. Ces alertes sont authentiques, car elles proviennent directement des serveurs Apple. Elles sont déclenchées par les escrocs eux-mêmes, qui essaient volontairement de se connecter au compte visé.
Peu après ces notifications, la cible reçoit un appel vocal émis par Apple. Il s’agit d’un message automatique qui lit un code de vérification à six chiffres. Cet appel fait partie des mécanismes standards de l’identification à deux facteurs, et peut apparaître lorsqu’une tentative de connexion est détectée depuis un appareil inconnu. L’enchaînement rapide des messages et de l’appel renforce l’idée qu’une procédure de sécurité est en cours, pilotée directement par Apple.
Un peu plus tard, un second appel arrive depuis un numéro local, présenté comme une relance du support Apple, et la personne adopte un ton posé. Elle ne demande aucune information sensible et indique qu’un autre conseiller reprendra le dossier dans les minutes qui suivent. Il s’agit en réalité de l’escroc, qui s’appuie sur l’enchaînement des messages précédents pour entretenir l’illusion d’un accompagnement officiel.
Dans la foulée, un mail s’affiche dans la boîte de réception et confirme l’ouverture d’un dossier d’assistance, avec un numéro de référence et un créneau de rappel. Ce message est authentique, car il a été généré automatiquement par Apple à la suite d’une demande soumise par les escrocs à partir de l’adresse de la victime. Tout semble correspondre, chaque élément vient appuyer le suivant, et l’ensemble donne l’impression d’une procédure légitime gérée par le support.
Une seule validation déclenche toute l’intrusion
Lors du second appel, toujours perçu comme une suite logique à l’échange précédent, la victime est recontactée par le même faux conseiller. Il prétend cette fois pouvoir clôturer l’incident et l’oriente vers un site présenté comme un outil interne d’Apple. En réalité, il s’agit bien d’un escroc. L’adresse semble correcte, l’interface rappelle celles utilisées par Apple, tout est pensé pour ne rien éveiller de soupçon.
Sur cette page, l’utilisateur est invité à entrer le numéro du dossier reçu quelques minutes plus tôt dans un mail officiel. Ce numéro correspond bien à un véritable dossier d’assistance Apple, puisqu’il a été généré automatiquement à partir des informations soumises par l’escroc lors de l’ouverture du ticket. Ensuite, un champ demande un code à six chiffres. Ce code est envoyé par SMS, via le système d’authentification à deux facteurs d’Apple. Il ne s’agit donc pas d’un code inventé, mais bien d’une donnée légitime, délivrée par la procédure officielle.
Enfin, en saisissant ce code sur le site frauduleux, la victime pense valider une vérification Apple. Elle croit sécuriser son compte, comme cela lui a été présenté. Mais en réalité, elle autorise l’ouverture d’une session sur un Mac inconnu contrôlé par l’escroc. L’attaque réussit à ce moment précis, sans jamais avoir réclamé de mot de passe ni déclenché d’alerte visible.
Certaines attaques s’appuient sur votre confiance, d’autres n’ont besoin de rien. La dernière en date a permis de voler seize milliards d’identifiants sans alerte ni clic… mais pas sur iPhone.
