Aaron Johnson, interviewé en prison, a dévoilé tous les secrets de ses vols de codes d'iPhone. Il a expliqué comment il pouvait prendre le contrôle d'un mobile Apple en quelques secondes, vidant les comptes de son propriétaire.
Voleur de codes d'iPhone désormais réputé, Aaron Johnson a balancé toutes ses méthodes au Wall Street Journal pour expliquer comment il est parvenu à voler des mots de passe et téléphones avant de les revendre pour maximiser ses gains. C'est en utilisant des tactiques subtiles dans les bars, avec un mélange de supercherie et de violence, que Johnson a pu commettre ses méfaits. En réponse, Apple va introduire une fonctionnalité de protection des appareils volés avec iOS 17.3, soulignant l'importance majuscule de sécuriser ses données. Retour sur cette incroyable affaire.
Avec malice et parfois violence, il prenait le total contrôle de l'iPhone, et embarquait aussi le téléphone
Aaron Johnson, aussi fûté que diabolique, s'emparait des codes d'accès des utilisateurs d'iPhone dans les bars de Minneapolis, en utilisant certains stratagèmes visant davantage un jeune public, en leur proposant de la drogue factice par exemple. Après une prise de contact plutôt habile dans un cadre et une ambiance propices à piéger sa cible, la technique évoluait du simple vol d'iPhone à la prise de contrôle totale de l'appareil, impliquant des manipulations dans les paramètres iCloud pour remplacer le mot de passe du propriétaire par son propre code, et ensuite complètement verrouiller le propriétaire légitime de son appareil, en désactivant Find My Phone.
Avec le mot de passe, Aaron Johnson pouvait non seulement verrouiller les iPhones, mais également modifier l'identifiant Apple, le changement ne prenant qu'entre 5 et 10 secondes. Pire encore, le voleur indique qu'il modifiait le visage relié au système de reconnaissance faciale Face ID, en remplaçant celui de la victime par le sien. Face ID étant la « clé de tout », selon ses propres dires, une fois compromis, il avait un accès total aux données sensibles, aux comptes, opérations bancaires et autres applications financières.
En expliquant sa méthode au grand public, Johnson a admis avoir accédé à des outils comme PayPal ou Venmo, mais aussi aux comptes chèques et comptes d'épargne. L'application Notes a souvent été très précieuse aux yeux du malfrat, qui la compare à un trésor d'informations, notamment en ce qu'elle peut fourmiller de mots de passe.
Entre 1 et 2 millions de dollars de gains grâce à ses opérations
Avant 5 heures du matin, quelques heures seulement après avoir dérobé le smartphone de ses victimes, Johnson avait déjà vidé les comptes bancaires de ces derniers. Mais il ne s'arrêtait pas là, et c'est tout l'intérêt de cette odieuse et malveillante gourmandise. L'individu faisait des achats avec l'argent restant. Puis il finissait par procéder à une restauration d'usine des iPhone, avant de les revendre.
En volant entre 5 et 10 smartphones Apple par nuit, Johnson se faisait autour de 20 000 dollars par semaine. Selon les modèles (jusqu'à l'iPhone 14 Pro Max), il pouvait revendre un seul mobile près de 1 000 dollars. L'argent de la vente des smartphones lui servait à acheter des tablettes iPad Pro, qu'il revendait ensuite pour obtenir encore plus de liquidités, évoquant son intention de protéger sa famille et ses enfants. Si le mandat d'arrêt indique un vol global de 300 000 dollars, Johnson aurait indiqué avoir généré entre 1 et 2 millions de dollars grâce à ses victimes.
Directement mise en cause par l'individu, qui indique que le géant Apple ne fait pas assez pour protéger la sécurité de ses utilisateurs, la firme de Cupertino a répondu en déployant une fonctionnalité de protection des appareils volés dans iOS 17.3, pour le moment uniquement disponible en version bêta. Bien que désactivée par défaut, les utilisateurs peuvent l'activer via les paramètres Face ID puis mot de passe de l'iPhone. La fonctionnalité ajoute des couches de sécurité, nécessitant désormais une vérification Face ID ou Touch ID pour des actions critiques, protégeant ainsi les utilisateurs contre des attaques similaires à celles de Johnson. Doit-on dire que « c'est un mal pour un bien » donc ?
