C’est un matraquage en règle pour obtenir les identifiants Apple ID auquel ont du faire face certains clients de la marque à la pomme. En effet, une vague de phishing de type « push bombing » ou de « fatigue MFA » a sévi récemment assure le site Krebs on Security. Ces techniques consistent, pour les attaquants, à envoyer de manière répétée des notifications d'authentification à deux acteurs (MFA) sur les terminaux Apple.

Dans un fil de discussion Twitter/X, Parth Patel a observé que l’ensemble de ses terminaux Apple ont été bombardés de notifications push lui demandant de réinitialiser son mot de passe Apple ID. Il a dû en effacer une centaine avant que l'attaque ne prenne fin. Si Path Patel savait qu'il ne fallait pas tomber dans le panneau, d'autres utilisateurs pourraient ne pas être aussi chanceux, surtout quand leurs terminaux sont assaillis de demandes massives de réinitialisation.

Un bug dans les systèmes Apple

La page « Mot de passe oublié » d'Apple propose aux utilisateurs de demander plusieurs réinitialisations de mot de passe et envoie à chaque fois une notification à tous les terminaux. Si ces notifications semblent bien réelles, c’est parce qu'elles le sont. Il semble que les pirates exploitent « un bug dans les systèmes d'Apple » qui envoie des notifications officielles à tous les terminaux connectés à l'identifiant Apple quand quelqu'un tente de réinitialiser un mot de passe via la page « Mot de passe oublié » d'Apple. Dans les faits, cette attaque n’est pas très sophistiquée puisqu’il suffit d’un numéro de téléphone et d’une adresse électronique, pour que le système d'Apple autorise quelqu'un à demander à plusieurs reprises une réinitialisation de mot de passe, en espérant que l'une des demandes sera acceptée.

L'utilisateur reçoit ensuite un appel téléphonique du « support Apple », enfin présenté ici comme provenant du véritable numéro de support d'Apple (1-800-275-2273 aux États-Unis, 0805-540-003 en France), l'informant que son compte est attaqué et qu'il doit vérifier un code à usage unique. Une fois que les pirates ont reçu ce code, ils peuvent réinitialiser le mot de passe de l’Apple ID de l’utilisateur piégé et prendre le contrôle de son compte.

Prudence avant la mise en place d’un correctif

Un utilisateur rapporte avoir reçu une alerte similaire sur son Apple Watch, suffisamment suspecte pour qu'il active la clé de récupération de son Apple ID. Cette clef, qui se présente comme un « code de 28 caractères généré de manière aléatoire », améliore la sécurité du compte Apple ID de l’utilisateur en lui donnant plus de contrôle sur la réinitialisation de son mot de passe pour retrouver l'accès à son compte ».

Cependant, si les clés de récupération peuvent empêcher les pirates de modifier le mot de passe de l’Apple ID, elles n'empêcheront pas les notifications d'arriver. Jusqu'à ce qu'Apple propose un correctif, le mieux à faire pour mettre fin à l'attaque est d'annuler à plusieurs reprises les notifications de réinitialisation de mot de passe reçues sur l’iPhone, ou d'appuyer sur la touche « Ne pas autoriser ». Et comme toujours, il ne faut jamais communiquer un code à deux facteurs à une tierce personne, même si celle-ci affirme qu’elle travaille pour la firme de Cupertino.