L’une des dernières attaques sur iPhone voit des parties malveillantes abuser du système de réinitialisation du mot de passe de l’identifiant Apple pour inonder les utilisateurs d’invites iOS pour reprendre leurs comptes. Voici comment vous protéger contre les attaques de réinitialisation de mot de passe sur iPhone (souvent appelées « bombardements MFA »).
Nous avons récemment entendu parler d’utilisateurs Apple ciblés par des bombardements MFA (également appelés fatigue MFA ou push bombing). Ce n’est pas une nouvelle attaque, mais cela peut être une arnaque convaincante car elle envoie aux victimes des invites officielles de réinitialisation du mot de passe iOS.
Comme détaillé par Krebs sur la sécurité (via Parthe Patel), les attaquants abusant de cette vulnérabilité semblent le faire via le numéro de téléphone d’un utilisateur Apple, qui peut bombarder votre iPhone et d’autres appareils Apple avec plus de 100 invites du système MFA (authentification multifacteur) pour réinitialiser le mot de passe de votre identifiant Apple.
Mise à jour du 21/04/24 : Nous n’avons pas vu plus de cas de « bombardement » de cette attaque depuis qu’Apple a proposé un correctif fin mars. Cependant, un 9à5Mac mon coéquipier et moi avons tous deux vu l’attaque par mot de passe ce week-end sur nos appareils Apple.
Dans mon cas, j’ai reçu l’invite de réinitialisation du mot de passe sur mon iPhone et mon Mac. Heureusement, il n’y avait qu’une seule invite sur chaque appareil, ils ont donc rapidement refusé. Restez vigilant et en sécurité là-bas !
Mise à jour du 28/03/24 à 14h40 (heure du Pacifique): 9à5Mac a entendu un porte-parole d’Apple parler de ce problème. L’entreprise est au courant des quelques cas récents de ces attaques de phishing et Apple a pris des mesures pour résoudre le problème.
Comment se protéger contre les attaques de réinitialisation de mot de passe iPhone
- Déclin, déclin, déclin
- Étant donné que les demandes de réinitialisation du mot de passe constituent une alerte au niveau du système, cela semble convaincant – mais assurez-vous de choisir « Ne pas autoriser » pour tous
- Les attaquants épuisent leurs victimes en les bombardant de centaines de messages, parfois sur plusieurs jours – continuez à choisir. « Ne pas autoriser » et éventuellement utilisez l’étape 3 ci-dessous
- Remarque : Si vous voyez une invite de réinitialisation de mot de passe sur le Web qui peut être une autre escroquerie par phishing, fermer la page car l’un ou l’autre bouton pourrait conduire à un lien malveillant
- Ne répondez pas aux appels téléphoniques – même si l’identification de l’appelant indique « Assistance Apple » ou similaire
- Les attaquants utilisent l’usurpation d’appel qui peut faire apparaître le numéro entrant comme le numéro de téléphone officiel de l’assistance Apple et ils peuvent être en mesure de vérifier les informations personnelles, ce qui donne l’impression que l’arnaque est légitime.
- Ensuite, ils essaient d’obtenir de votre part un mot de passe à usage unique pour reprendre votre compte Apple.
- En cas de doute, refusez l’appel – et rappelez Apple (800.275.2273 aux États-Unis) – l’usurpation d’appel ne devrait pas pouvoir intercepter votre appel sortant vers le véritable Apple.
- Apple le met en avant ne fera pas appels sortants « sauf si le client demande à être contacté » et que vous devez ne partagez jamais de codes à usage unique avec qui que ce soit
- Changer temporairement votre numéro de téléphone associé à votre identifiant Apple
- Si vous continuez à recevoir les invites, la modification de votre numéro de téléphone lié à votre identifiant Apple devrait les arrêter
- Cependant, gardez à l’esprit cela interférera avec iMessage et FaceTime
Plus de détails
Comme indiqué dans Krebs sur la sécurité article, il semble qu’il y ait un problème de limite de débit avec le système de réinitialisation du mot de passe de l’identifiant Apple.
Quel système d’authentification sensé enverrait des dizaines de demandes de changement de mot de passe en l’espace de quelques instants, alors que les premières demandes n’ont même pas été traitées par l’utilisateur ? Serait-ce le résultat d’un bug dans les systèmes d’Apple ?
Espérons qu’Apple travaille sur un correctif afin que les parties malveillantes ne puissent pas abuser de ce système. Mais malheureusement, l’arnaque à la réinitialisation du mot de passe a été mise en lumière par utilisateurs depuis au moins deux ans (probablement plus).
Une victime récente a déclaré qu’un ingénieur principal chez Apple lui avait conseillé d’activer la fonction de clé de récupération pour son identifiant Apple afin d’arrêter les notifications de réinitialisation de mot de passe. Cependant, lors de tests plus approfondis, cela n’a pas été le cas, et la clé de récupération Apple vérifiée par Krebs on Security n’empêche pas les invites de réinitialisation du mot de passe.
En rapport:
Images de 9to5Mac