Selon BleepingComputer, la NCSC (Centre national suisse pour la cybersécurité) avertit les propriétaires d’iPhone d’une campagne de phishing en cours.
⚠️ Des messages prétendent avoir retrouvé un iPhone perdu ou volé, mais redirigent en réalité les victimes vers des pages destinées à dérober leurs identifiants Apple ID.
Source : Centre national pour la cybersécurité (NCSC) — novembre 2025
Type de menace : phishing / smishing ciblé sur Apple ID
Cible : utilisateurs d’iPhone signalés perdus ou volés via Find My
🧠 Contexte de l’attaque
Le NCSC suisse met en garde contre une campagne de phishing visant à voler les identifiants Apple ID de propriétaires d’iPhone déclarés perdus.
Les attaquants exploitent la fonction “Mode perdu” de l’application Find My, qui permet d’afficher un message personnalisé sur l’écran verrouillé de l’appareil — souvent avec un numéro ou une adresse e-mail de contact.
Les cybercriminels récupèrent cette information et envoient un SMS ou un iMessage prétendant provenir d’Apple, affirmant que l’iPhone a été retrouvé.
⚙️ Déroulement de l’attaque
-
Leurre initial :
Message reçu avec un texte du type :“Nous avons retrouvé votre iPhone 14 128GB Midnight. Cliquez ici pour voir sa position.”
(lien vers un faux site Apple) -
Hameçonnage :
Le lien redirige vers un faux site “Find My iPhone”, reproduisant l’interface officielle d’Apple. -
Vol d’identifiants :
L’utilisateur entre son Apple ID et mot de passe, transmis directement aux attaquants. -
Objectif final :
Les fraudeurs utilisent ces identifiants pour désactiver le verrouillage d’activation Apple (Activation Lock), ce qui leur permet d’effacer, déverrouiller ou revendre l’iPhone volé.
🧩 TTPs (Tactiques, Techniques et Procédures)
| Phase MITRE ATT&CK | Technique | Description |
|---|---|---|
| Reconnaissance | T1589 – Collecte d’informations personnelles | Extraction du numéro ou de l’e-mail affiché sur l’écran du téléphone perdu |
| Livraison | T1566.002 – Phishing via SMS/iMessage | Envoi de messages frauduleux imitant Apple |
| Exécution / Vol de credentials | T1110 – Credential Phishing | Redirection vers un faux site Apple pour voler les identifiants Apple ID |
| Objectif | T1539 – Désactivation d’un mécanisme de protection | Contournement du Find My et du Activation Lock pour réutiliser l’appareil volé |
🧾 Indicateurs de compromission (IoCs)
| Type | Exemple / Description |
|---|---|
| Domaine | Faux sites imitant icloud.com/find ou appleid.apple.com |
| Message typique | “Votre iPhone a été retrouvé à l’étranger. Cliquez ici pour localiser votre appareil.” |
| Origine du message | Numéros inconnus, souvent internationaux, via SMS ou iMessage |
| Cible | iPhone déclarés perdus avec un message de contact affiché sur l’écran |
🛡️ Recommandations du NCSC
- 🚫 Ne jamais cliquer sur un lien reçu par SMS/iMessage prétendant venir d’Apple.
- 🔒 Activer immédiatement le mode “Perdu” via Find My ou iCloud.com/find.
- 📨 Utiliser une adresse e-mail dédiée pour le message affiché sur l’écran du téléphone perdu.
- 📱 Conserver l’appareil lié à votre compte Apple pour maintenir le verrouillage d’activation actif.
- 🔐 Protéger la carte SIM par un code PIN afin d’éviter toute récupération de numéro par les attaquants.
- ❗ Apple ne contacte jamais les utilisateurs par SMS pour signaler un appareil retrouvé.
🧭 En résumé
Les escrocs exploitent la détresse des utilisateurs ayant perdu leur iPhone pour voler leurs identifiants Apple ID via des messages de phishing imitant Find My.
Le NCSC appelle à la vigilance accrue et rappelle qu’Apple ne communique jamais par SMS pour signaler un appareil retrouvé.
Il s’agit d’une alerte de sécurité visant à informer le public d’une menace active et de son mode opératoire.
🔗 Source originale : https://www.bleepingcomputer.com/news/security/lost-iphone-dont-fall-for-phishing-texts-saying-it-was-found/