Les arnaqueurs ciblent désormais les comptes personnels des utilisateurs Apple avec une méthode surréaliste et particulièrement redoutable

Des arnaqueurs exploitent une faille majeure du système d’assistance d’Apple pour dérober des comptes iCloud. Cette escroquerie de phishing ultra-sophistiquée utilise de vrais tickets officiels pour tromper même les utilisateurs les plus vigilants et avertis.

Un mercredi ordinaire, Eric Moret a failli perdre l’accès à toute sa vie numérique. Après avoir reçu un code de vérification Apple non demandé, des pirates ont obtenu l’accès à son compte iCloud, ses photos et ses e-mails en trente minutes. Cette arnaque exploite une faille du système de support officiel d’Apple pour piéger ses victimes avec leurs propres outils.

À 15h17, Eric reçoit un code d’authentification à deux facteurs par SMS sans avoir tenté de connexion. Une minute plus tard, son téléphone sonne avec un message automatisé d’Apple récitant vocalement un autre code 2FA. Simultanément, ses iPhone, Mac et iPad reçoivent tous des notifications de connexion suspectes. Les pirates montent progressivement la pression.

À 15h21, un numéro d’Atlanta appelle et se présente comme le support Apple, affirmant que le compte est attaqué et qu’un ticket a été créé. L’appel dure vingt-huit secondes, juste assez pour semer l’inquiétude. Dix minutes après, un deuxième appel s’éternise vingt-cinq minutes. L’arnaqueur crée un vrai ticket d’assistance Apple avec numéro de cas vérifiable, utilisant l’adresse e-mail de la victime sans aucune vérification d’identité.

N’importe qui peut générer un ticket Apple au nom de n’importe qui. Les pirates créent donc un dossier légitime et y assignent l’adresse de leur cible. La victime reçoit alors un message authentique d’Apple avec un numéro de cas valide et toute l’apparence officielle. Ce détail rend l’arnaque quasi irréfutable pour les utilisateurs.

Eric vérifie pendant l’appel et confirme que l’expéditeur est Apple, que le numéro fonctionne sur le site officiel. L’arnaqueur le guide pour réinitialiser son mot de passe iCloud. Les codes 2FA reçus antérieurement rendent le scénario plausible. Crucialmente, l’escroc ne demande jamais le code 2FA et laisse Eric effectuer la manipulation lui-même, ce qui achève de le convaincre.

L’arnaqueur annonce qu’un SMS transmettra un lien pour clôturer le dossier. Le message arrive sur appeal-apple.com. Le site imite parfaitement le design Apple avec HTTPS et certificat valide. La page affiche les étapes de sécurisation avec des coches vertes : ticket ouvert, compte gelé, mot de passe modifié. Seule la dernière case reste en attente, créant une mise en scène psychologique redoutable.

L’escroc prévient qu’un code de confirmation arrivera pour finaliser la procédure. En réalité, les pirates tentent à cet instant de se connecter au compte d’Eric. Cette tentative déclenche l’envoi automatique d’un vrai code 2FA par Apple. Quand Eric saisit ces six chiffres sur le site frauduleux, il livre directement le sésame aux escrocs. Ceux-ci utilisent immédiatement le code pour accéder au compte.

Quelques secondes plus tard, un e-mail d’Apple alarme Eric : son compte a été utilisé pour se connecter à iCloud sur un Mac mini 2024 qu’il ne possède pas. Le prétendu code de clôture était en réalité le code d’authentification donnant accès total à son compte. Eric comprend instantanément le piège, change son mot de passe et raccroche. Le Mac mini fantôme disparaît de sa liste d’appareils.

Pour vous protéger, raccrochez systématiquement à tout appel non sollicité prétendant venir d’Apple, puis contactez directement le support officiel. Ne communiquez jamais vos codes d’authentification, même à un supposé agent Apple. Vérifiez que le site appartient réellement au domaine apple.com, car la présence d’Apple dans l’URL ne suffit pas. Pour une sécurité maximale, utilisez une clé d’authentification physique compatible que les escrocs ne pourront jamais voler à distance.