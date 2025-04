Une sécurité à double tranchant : le verrouillage des identifiants Apple

Certaines victimes poursuivent Apple en justice pour récupérer des années de données personnelles

Les outils de sécurité d'Apple détournés

La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.

Apple est réputée pour la robustesse de ses systèmes de sécurité. L’identifiant Apple, couplé à l’activation de l’authentification à deux facteurs, rend un iPhone inutilisable par un tiers, même après un vol. C’est un argument marketing clé : un iPhone volé devient « une brique », inutilisable, non revendable.Mais cette stratégie a une conséquence inattendue. Des voleurs, de plus en plus habiles, profitent d’astuces sociales pour convaincre ou forcer leurs victimes à déverrouiller leurs téléphones, changer les mots de passe, puis activent un « code de récupération » unique. Une fois cela fait, même la vraie propriétaire ne peut plus accéder à son propre compte. Apple, en l'absence du fameux code, refuse toute aide.À la fin de l'année 2023, Robin Davis a quitté son domicile dans le nord-ouest du Pacifique pour passer un week-end à New York - et elle a prévu d'en profiter au maximum.Elle a prévu de retrouver une amie très chère pour dîner, puis de se rendre dans une boîte de nuit de trois étages dans le Lower East Side pour boire et danser lors d'une soirée sur le thème des années 80. Ensuite, elles se rendaient dans un hôtel de charme de SoHo, où elles échangeaient des histoires et faisaient la grasse matinée. Tout était réuni pour passer une nuit parfaite à New York - jusqu'à ce que, selon Mme Davis, un voleur se fasse passer pour un employé du club en la droguant, en glanant le code d'accès de son iPhone et en le lui arrachant des mains alors qu'elle montait à bord d'un Uber.Comme si la frénésie d'achats à laquelle s'est livré le voleur avec les cartes de crédit qu'il avait conservées ne suffisait pas, Mme Davis n'a jamais retrouvé l'accès aux fichiers essentiels - contacts, photos de son mariage, données relatives au travail « et autres informations essentielles » - associés à son compte Apple. Ce n'est pas seulement à cause des personnes qui ont volé son téléphone. C'est aussi parce qu'Apple ne veut pas le lui rendre.« En tant que cadre commercial de carrière, il s'agit d'un désastre qui va changer ma vie », a-t-elle écrit dans une lettre adressée à Jeff Williams, directeur de l'exploitation d'Apple.Apple, l'une des entreprises aux plus grosses capitalisation boursière au monde (avec une capitalisation boursière de près de 3 000 milliards de dollars), affirme son engagement inébranlable à protéger la vie privée et les données des utilisateurs, une position à laquelle elle s'est tenue même face aux pressions exercées par les forces de l'ordre. Cependant, certaines personnes qui se sont fait voler leur iPhone découvrent que les outils de sécurité d'Apple, censés les protéger, sont parfois utilisés contre elles. Lorsque des iPhones sont volés, des voleurs avisés peuvent verrouiller l'accès des propriétaires à leurs comptes Apple, ce qui rend difficile la récupération de photos et de fichiers précieux. Aujourd'hui, un procès en Californie donne à certaines de ces victimes l'espoir de retrouver leur vie numérique.Michael Mathews, 53 ans, poursuit Apple en justice, demandant l'accès à 2 téraoctets de données qui constituent sa « vie numérique entière, y compris celle de sa famille », ainsi qu'au moins 5 millions de dollars de dommages et intérêts, selon un document déposé en janvier auprès du tribunal de district des États-Unis pour le district nord de la Californie.Son iPhone a été volé quelques semaines après celui de Davis, à Scottsdale, en Arizona, où des pickpockets ont pris pour cible le dirigeant d'une entreprise technologique du Minnesota et se sont emparés de son téléphone. Il a perdu l'accès à ses photos, à sa musique, à ses déclarations d'impôts et à ses recherches liées à son travail, selon les documents du tribunal. Sa société de conseil en technologie a dû fermer complètement ses portes, affirme-t-il dans le procès.« Même si Mathews est en mesure de fournir des preuves substantielles et incontestables que les comptes et les données de ses comptes Apple sont les siens, Apple refuse néanmoins de réinitialiser la clé de récupération ou de permettre à Mathews d'accéder à ses comptes et à ses données », indique la plainte. « Ce faisant, Apple perpétue et aide les pirates dans leur activité criminelle.Apple s'est refusé de commenter l'affaire judiciaire de Mathews, se contentant de déclarer : « Nous compatissons avec les personnes qui ont vécu cette expérience et nous prenons très au sérieux toutes les attaques contre nos utilisateurs, aussi rares soient-elles ».« Ce qui est indéfendable, c'est qu'Apple conserve des données qui ne lui appartiennent pas », a déclaré K. Jon Breyer, l'avocat de Mathews, lors d'une interview. « C'est une question à laquelle Apple refuse toujours de répondre. Sur quelle base pouvez-vous conserver les données de vos utilisateurs et ne pas les restituer ? »Pour l'instant, l'attente d'une solution se poursuit. Breyer a déclaré que l'affaire entrait tout juste dans la phase de découverte, un processus de collecte de preuves avant le procès qui, selon lui, devrait durer au moins six à huit mois.Les iPhones sont des cibles de grande valeur, et les voleurs ont appris qu'ils peuvent en tirer plus de valeur s'ils apprennent les codes de passe de leurs victimes - comme ils l'ont fait avec Davis.Une fois l'iPhone volé déverrouillé, l'étape suivante consiste souvent à modifier le mot de passe lié à l'identifiant Apple de l'utilisateur, afin de le rendre plus difficile à localiser. Et si le voleur est minutieux, il peut créer une « clé de récupération » : un code aléatoire de 28 caractères destiné à aider les utilisateurs à reprendre le contrôle de leur compte Apple au cas où d'autres personnes s'en empareraient.La création d'une clé de récupération désactive le processus habituel de récupération de compte de l'entreprise. Problème : il est très facile pour un voleur de créer une clé de récupération - ou de remplacer celle que vous avez déjà créée - s'il connaît le code d'accès de la personne. Une fois qu'un iPhone dispose d'une nouvelle clé de récupération, quel qu'en soit l'auteur, Apple indique que « votre compte sera verrouillé de manière permanente ».« Ce que nous avons appris, c'est qu'Apple n'a pas examiné en profondeur le modèle de menace d'une personne ayant un accès physique à votre appareil », a déclaré Thorin Klosowski, militant pour la protection de la vie privée à l'organisation à but non lucratif Electronic Frontier Foundation.Une fois l'accès verrouillé, toutes les données du compte (photos, notes, mémos vocaux, etc.) sont conservées, chiffrées sur le cloud. Dans certains cas, Apple détient une copie des clés nécessaires au déchiffrement de ces fichiers, juste au cas où.Il existe une exception : Si un utilisateur ou un voleur a activé une fonction appelée(Protection avancée des données), toutes ces données sont entièrement verrouillées et même Apple n'y a pas accès. Mais dans les cas où ce chiffrement avancé n'est pas utilisé, comme dans le cas de Mathews, Apple n'est pas paralysé par des limitations techniques ; il choisit de ne pas restituer les données des utilisateurs, affirment les experts.Apple « ne nous a jamais dit qu'elle n'était pas en mesure de restituer les informations », a d...