Une nouvelle technique de phishing bien fourbe détourne le système de notification d'Apple. Le mail provient bien de appleid@id.apple.com, passe les vérifications de sécurité, et annonce un faux achat d'iPhone sur votre compte. Ensuite, un numéro de téléphone vous invite à appeler pour annuler cet achat frauduleux, sauf que là vous tombez sur vos escrocs.
Comment ça marche ?
L'astuce a été repérée par BleepingComputer. Les arnaqueurs créent un Apple ID classique, puis ils insèrent leur message de phishing dans les champs prénom et nom du compte. Comme aucun champ n'est assez grand pour tout faire tenir, le texte est découpé en deux. Ensuite, ils déclenchent une notification automatique en modifiant l'adresse de livraison du compte. Apple envoie alors un mail de sécurité standard, en y intégrant les champs nom et prénom remplis par l'attaquant. Résultat : le message frauduleux arrive dans la boîte mail et semble tout à fait légitime.
Visuel : bleepingcomputer.com
L'email qui passe SPF, DKIM et DMARC
C'est la partie qui rend cette arnaque particulièrement vicieuse. Le mail vient réellement de appleid@id.apple.com, transite par les serveurs Apple, et passe toutes les protections email : SPF, DKIM, DMARC. Aucun filtre antispam n'a de raison de le bloquer, et l'utilisateur voit bien le logo Apple, le bon expéditeur et l'authentification cryptographique. Le contenu du faux message annonce un achat d'iPhone à 899 dollars effectué via PayPal, daté précisément, avec un numéro de téléphone à appeler pour annuler. Bien sûr, ce numéro ne mène pas chez Apple mais directement aux méchants escrocs.
Visuel : bleepingcomputer.com
Comment repérer l'arnaque
Quelques signes permettent de ne pas tomber dans le panneau. Le faux mail commence par Dear User au lieu de votre vrai nom à vous, ce qui n'arrive pas dans les communication Apple. L'adresse iCloud indiquée n'est pas à vous, et le mail ne contient pas non plus l'adresse de facturation, qui apparaît logiquement toujours dans les vraies factures Apple. Dans tous les cas, n'appelez jamais un numéro envoyé par mail, et pensez à toujours vérifier l'historique d'achats directement sur appleid.apple.com.
On en dit quoi ?
Pendant des années, les protections email comme SPF, DKIM et DMARC ont été présentées comme la solution ultime pour distinguer un vrai mail d'un faux. Là, on voit que ces protections ne servent à rien dès que l'attaquant utilise l'infrastructure légitime du service. Le problème n'est pas vraiment Apple, c'est surtout un problème d'architecture : autoriser des champs texte aussi longs dans le profil utilisateur, qui se retrouvent ensuite dans des emails automatiques envoyés à autrui, c'est ouvrir une porte assez évidente.
La solution est simple sur le papier : Apple peut limiter le nombre de caractères dans les champs nom et prénom (un nom et prénom de 50 caractères chacun, ça suffit pour tout le monde). Apple peut aussi filtrer les chaînes qui ressemblent à du HTML ou à des numéros de téléphone. D'ici là, le conseil est toujours le même : si vous recevez un email d'Apple qui vous annonce un achat que vous n'avez pas fait, vérifiez toujours directement sur le site officiel avant de paniquer.
