Une attaque par "push bombing" de l'identifiant Apple cible les utilisateurs d'iPhone avec des spams de notification de réinitialisation
Les utilisateurs d'iPhone sont quelque peu habitués à l'invite occasionnelle du mot de passe Apple ID sur leurs iPhones, mais une nouvelle attaque de phishing pourrait les faire réfléchir à deux fois avant d'entrer sans réfléchir leur mot de passe le plus précieux. Comme le souligne Krebs on Security, les clients d'Apple sont la cible d'une campagne de phishing de type "push bombing" ou "MFA fatigue", dans le cadre de laquelle les attaquants envoient de manière répétée des notifications d'authentification à deux acteurs sur les appareils Apple.
Comme l'explique Parth Patel dans un fil de discussion Twitter/X, tous ses appareils Apple ont commencé à "exploser" avec des notifications push lui demandant de réinitialiser son mot de passe Apple ID. Il a dû effacer une centaine de notifications avant que l'attaque ne prenne fin. Si Patel savait qu'il ne fallait pas se laisser abuser par la notification, d'autres utilisateurs d'Apple pourraient ne pas être aussi chanceux, en particulier lorsque leurs appareils sont bombardés de requêtes.
La page Mot de passe oublié d'Apple permet aux utilisateurs de demander plusieurs réinitialisations de mot de passe et envoie à chaque fois une notification à tous vos appareils.
La page Mot de passe oublié d'Apple permet aux utilisateurs de demander plusieurs réinitialisations de mot de passe et envoie une notification à tous vos appareils à chaque fois.
La page Mot de passe oublié d'Apple permet aux utilisateurs de demander plusieurs réinitialisations de mot de passe et envoie une notification à tous vos appareils à chaque fois.
Les notifications semblent réelles parce qu'elles sont réel. Les attaquants semblent exploiter "un bogue dans les systèmes d'Apple" qui envoie des notifications légitimes à tous les appareils Apple connectés à l'identifiant Apple lorsque quelqu'un tente de réinitialiser son mot de passe via la page "Mot de passe oublié" d'Apple. L'attaque peu sophistiquée ne semble pas nécessiter beaucoup d'informations autres qu'un numéro de téléphone et une adresse électronique, et le système d'Apple permet à quelqu'un de demander à plusieurs reprises une réinitialisation de mot de passe dans l'espoir que l'une des demandes sera acceptée.
L'utilisateur reçoit ensuite un appel téléphonique de suivi de la part de l'"assistance Apple" (présentée comme provenant du numéro d'assistance d'Apple, 1-800-275-2273), lui indiquant que son compte fait l'objet d'une attaque et qu'il doit vérifier un code à usage unique. Une fois que les pirates ont reçu ce code, ils peuvent réinitialiser votre mot de passe et s'introduire dans votre identifiant Apple.
Un autre utilisateur rapporte avoir reçu une alerte similaire sur son Apple Watch, suffisamment suspecte pour qu'il active la clé de récupération de son Apple ID, qui est un "code de 28 caractères généré de manière aléatoire qui permet d'améliorer la sécurité de votre compte Apple ID en vous donnant plus de contrôle sur la réinitialisation de votre mot de passe pour retrouver l'accès à votre compte". Toutefois, si les clés de récupération devraient empêcher les pirates de modifier le mot de passe de l'identifiant Apple, elles n'empêcheront pas les notifications d'arriver.
Jusqu'à ce qu'Apple propose un correctif, le mieux que vous puissiez faire pour mettre fin à l'attaque est d'annuler à plusieurs reprises les notifications de réinitialisation de mot de passe dont vous n'êtes pas à l'origine, ou d'appuyer sur "Ne pas autoriser". Et comme toujours, ne donnez jamais un code à deux facteurs à quelqu'un, même s'il vous dit qu'il vient d'Apple.