Retour à l'accueil

Phishing via Notifications Apple : Comment repérer un faux

Un nouveau vecteur d'attaque de phishing est décrit, dans lequel les attaquants intègrent des messages malveillants dans les notifications officielles Apple concernant les changements de données de compte. L'attaque utilise l'infrastructure légitime de l'entreprise et passe tous les contrôles d'authentification d'e-mail standard.

Nouvelle attaque de phishing via Notifications Apple : Détails et protection
Advertisement 728x90

# Phishing via les notifications Apple : Comment les hackers contournent les filtres antispam

Les hackers ont appris à intégrer des messages de phishing dans les notifications officielles Apple en utilisant l'infrastructure légitime de la société. Ces e-mails passent tous les contrôles d'authenticité — SPF, DKIM et DMARC — et ressemblent à de véritables alertes concernant des modifications de données de compte. Cela permet aux attaquants de contourner les filtres antispam et de gagner la confiance des victimes.

Mécanisme d'attaque

L'attaquant crée un compte Apple ID et modifie les champs prénom et nom, en y insérant du texte de phishing. Par exemple, dans un cas, le champ prénom indiquait : « Vous avez acheté un iPhone pour 899 $ via PayPal », et le champ nom contenait un numéro de téléphone d'un « service de support ». Le hacker modifie ensuite les détails de livraison dans le profil, ce qui déclenche automatiquement une notification Apple concernant les modifications du compte.

Puisque Apple inclut les valeurs des champs prénom et nom spécifiés par l'utilisateur dans le corps de l'e-mail, le message de phishing devient partie intégrante de la notification officielle. L'e-mail est envoyé depuis [email protected] avec l'adresse IP 17.111.110.47, appartenant à Apple, et passe tous les contrôles standards d'authentification des e-mails :

Google AdInline article slot
dkim=pass header.d=id.apple.com [email protected] header.b=o3ICBLWN
spf=pass (spf.icloud.com: domain of [email protected] designates 17.111.110.47 as permitted sender) [email protected]

L'analyse des en-têtes confirme que l'e-mail provient bien de l'infrastructure Apple :

  • Serveur d'origine : rn2-txn-msbadger01107.apple.com
  • Relais sortant : outbound.mr.icloud.com
  • Adresse IP de l'expéditeur : 17.111.110.47 (propriété d'Apple Inc.)

Distribution via des listes de diffusion

Initialement, la notification est envoyée à l'adresse iCloud liée au compte de l'attaquant. Cependant, les victimes ultimes reçoivent le même e-mail sur des boîtes externes. Cela suggère l'utilisation d'une redirection ou d'un mécanisme de liste de diffusion. Il est possible que le hacker ajoute les adresses cibles à la liste de contacts et utilise une fonctionnalité de notification de masse lors de la modification du profil.

Cette approche rend l'attaque particulièrement dangereuse : le destinataire voit un e-mail qui a passé tous les contrôles techniques d'authenticité, avec des en-têtes corrects et un domaine d'expéditeur légitime. Même les utilisateurs expérimentés pourraient ne pas se douter d'un piège.

Google AdInline article slot

Objectifs et conséquences

Si la victime appelle le numéro indiqué, les escrocs se font passer pour du personnel de support Apple et prétendent que le compte a été compromis. Ils peuvent alors :

  • Convaincre l'utilisateur d'installer un logiciel d'accès à distance (par ex., AnyDesk ou TeamViewer).
  • Demander les détails de carte de crédit ou de compte bancaire pour « annuler la transaction ».
  • Tenter d'obtenir le code à deux facteurs ou le mot de passe Apple ID.
  • Utiliser l'accès à distance pour déployer un malware ou voler des données.

Des tactiques similaires ont été utilisées auparavant dans des attaques d'invitations de calendrier iCloud, où des messages de phishing se faisaient passer pour des notifications d'achat. Le nouveau vecteur — via les notifications de modification de profil — est encore plus convaincant, car il concerne la sécurité du compte.

Points clés

  • L'authenticité ne garantit pas la sécurité : même les e-mails passant SPF/DKIM/DMARC peuvent contenir du contenu malveillant si les attaquants utilisent des services légitimes.
  • Apple n'est pas directement en faute : la vulnérabilité provient du fait que le système inclut les données utilisateur dans les notifications sans les sanitiser.
  • Ignorez les coordonnées de contact dans les notifications : le support Apple officiel n'inclut jamais de numéros de téléphone dans les e-mails automatisés.
  • Les modifications de profil nécessitent une vérification : toute modification de données de compte doit être confirmée via l'authentification à deux facteurs — mais la notification peut être falsifiée avant cette étape.
  • Surveillez les noms inhabituels dans les comptes : si votre Apple ID affiche un prénom ou nom étrange, c'est un signe de compromission.

Les développeurs et administrateurs de sécurité doivent prendre en compte que les canaux de livraison fiables (y compris les notifications des grandes plateformes) peuvent être exploités pour de l'ingénierie sociale. Le filtrage de contenu basé uniquement sur l'authentification technique est insuffisant — une analyse sémantique et des modèles comportementaux sont nécessaires.

Google AdInline article slot

— Editorial Team

Advertisement 728x90

Lire ensuite