J’ai été la cible d’une violation sophistiquée de mon identifiant Apple qui a causé des conséquences émotionnelles et financières importantes. Mon expérience en tant qu'entrepreneur technologique signifiait que je connaissais l'importance de l'authentification multifacteur et les signes avant-coureurs des échanges de cartes SIM et que j'avais mis en place des précautions. Malgré cette vigilance, j'ai été victime d'une attaque audacieuse un soir de janvier dernier, démontrant douloureusement que cela peut arriver à tout le monde.

J'ai mon identifiant Apple depuis son invention. J'ai acheté pour des dizaines de milliers, voire des centaines de milliers, de dollars de logiciels, de films, d'émissions de télévision et de matériel informatique. Soudain, j'ai été informé de 15 000 tentatives de connexion. C’était littéralement « Boum, boum, boum ». J'ai appuyé sur "Ne pas autoriser, ne pas autoriser, ne pas

Ensuite, j'ai reçu un appel d'une personne prétendant travailler pour le support technique d'Apple. Ils disposaient d'informations détaillées sur le nombre d'appareils que je possédais et la date de leur dernière utilisation, même l'origine des tentatives de connexion. De nombreuses victimes sans méfiance trouveraient cet appel crédible, mais quelque chose ne me plaisait pas. Il a dit : « Je vais vous envoyer un code » – et j'ai répondu : « Je ne vais pas vous le donner. »

Des codes ont ensuite été envoyés sur mon téléphone – à partir exactement du même numéro que celui utilisé par Apple pour envoyer des codes de vérification dans le passé. J'ai décidé d'appeler directement Apple pour aller au fond des choses, mais le cauchemar ne faisait que commencer. L'attaquant avait réussi à accéder à mon compte.

J'ai expliqué ce qui se passait, mais la femme d'Apple m'a dit en gros : « Acceptez vos pertes ». Excusez-moi? Que veux-tu dire? Je suis techniquement averti – je savais que mon identifiant Apple avait potentiellement disparu à jamais. Cela ne veut pas dire qu’il n’y avait pas de choses plus importantes en jeu. J'avais des jetons non fongibles (NFT) et des œuvres d'art que j'avais conservés pendant deux ans. J'ai eu accès à de nombreux comptes d'entreprise, des comptes de courtage – toutes sortes de choses. Et elle n’arrêtait pas de répéter : « Acceptez votre perte, acceptez votre perte, acceptez votre perte. »

Une illustration du Wall Street Journal de 2023 montrait comment les comptes Apple pouvaient être piratés si des attaquants détenaient le mot de passe d'un iPhone. Source : Wall Street Journal

J'étais dans une course contre la montre pour protéger mes actifs et j'ai commencé à déplacer ma monnaie fiduciaire vers un endroit sûr, mais ma crypto avait déjà été transférée vers un portefeuille hors de mon contrôle et liquidée. J'ai ensuite reçu un appel anonyme d'une personne utilisant un modulateur vocal avec un message effrayant : "Vérifiez votre télégramme".

Des messages ont été envoyés indiquant que mon identifiant Apple et mes actifs seraient restitués si les numéros de téléphone et les adresses e-mail de trois autres personnes étaient remis. Mais j’ai refusé, disant à l’agresseur qu’il avait choisi la mauvaise personne.

J'ai commencé à tweeter sur la situation et le pirate informatique a paniqué. Il a menacé de divulguer des photos de ma fille de quatre mois, alors j'ai retiré le tweet.

Ils ont continué à envoyer des messages, et on m'a ensuite dit que je récupérerais mon identifiant Apple tant que je ne publierais pas en ligne pendant 48 heures. Mais trois jours plus tard, les règles du jeu ont à nouveau changé. L'agresseur exigeait désormais 50 000 dollars.

"Normalement, ce que je fais, c'est trouver des personnes qui ont des liaisons, qui font quelque chose de mal ou qui détiennent des informations sensibles pour lesquelles je leur extorque", m'a expliqué le cybercriminel.

Des mois de terreur

Pendant les trois mois qui ont suivi, l’agresseur a tenté de m’extorquer et de me terroriser – un stress que je devais cacher à ma femme et à ma fille. Pour aggraver les choses, mes limites de retrait Amex et Chase ont été réduites et ma cote de crédit a chuté.

Sans me laisser décourager, j’ai continué à échanger des messages et des appels avec l’homme qui a volé mon identité, accumulant des gigaoctets de preuves.

Je ne savais pas que les murs se refermaient déjà sur l'attaquant. Le criminel était déjà sur le radar des forces de l'ordre après avoir été inculpé pour un échange de carte SIM – et les détectives ont vite réalisé qu'il ne s'agissait que de la pointe de l'iceberg. Étant donné que les fonds volés avaient été utilisés sur Cash App et Venmo, les enquêteurs ont pu relier les points et m'identifier comme victime. Lorsqu’un agent du FBI m’a appelé, j’ai pu donner une description détaillée de la personne responsable – et c’était suffisant pour obtenir un mandat. Ils sont entrés par effraction dans sa maison. Le gars était sur mon identifiant Apple.

L'enquête a révélé par la suite qu'il y avait une vingtaine d'autres victimes. La plupart d’entre eux étaient des femmes. Il inciterait beaucoup d’entre eux à faire des choses sexuelles. J'ai reçu un appel de l'agent chargé de la détermination de la peine qui ne savait pas que c'était une chose. Elle a dit qu'elle avait côtoyé des tueurs en série, des meurtriers… de mauvaises personnes, et qu'elle n'avait jamais ressenti de pire sentiment que d'interagir avec cette personne.

J'étais la seule victime qui n'avait pas peur de s'exprimer et qui a fourni une déclaration écrite au tribunal. La puissance de ces mots a conduit le juge à doubler la peine, la portant à huit ans sans possibilité de libération conditionnelle, même si le pirate informatique avait plaidé coupable et s'en était pris à ses associés. Une affaire fédérale est en cours et il sera donc en prison pendant un certain temps. C'est une perte de vie.

Protégez votre identité numérique

Ce fut l’une des expériences les plus traumatisantes de ma vie.

Pendant ce temps, des millions de personnes dans le monde continuent de dépendre de leur identifiant Apple dans leur vie quotidienne, ignorant parfaitement les dommages causés par un piratage. Prenez mon numéro de sécurité sociale, ne prenez pas mon identité numérique. Je n'ai réalisé qu'Apple était mon identité numérique que lorsqu'il était trop tard.

L’attaquant faisait partie d’un stratagème plus vaste et sophistiqué : des escrocs annonçaient effrontément des offres d’emploi pour les rejoindre. Les gens se joignent alors à ceux qui pensent qu'ils travaillent véritablement pour l'assistance Apple, alors qu'ils sont involontairement impliqués dans des délits financiers.

De nouvelles solutions de reconnaissance vocale sont nécessaires de toute urgence pour mieux protéger le public, d'autant plus que la voix d'une personne peut être recréée et abusée en moins de 30 minutes.

Les identités numériques seront le fondement du Web3. Sans eux, nous ne pouvons vraiment pas vérifier à qui nous parlons. Notre pile de communication en tant que société et civilisation est embarrassante en ce moment. Une véritable identité numérique vous permet de prendre la garde de vos propres données et solutions. Je peux désormais récupérer les informations de mon médecin et les conserver dans mon stockage. Je peux protéger mes informations financières. Je peux prendre tout ça.

Je veux m'assurer que cela n'arrive à personne d'autre. Je suis sur le point de recevoir un remboursement d’Apple pour tous les achats que j’ai effectués au cours des 20 dernières années à titre de compensation – et j’aimerais partager ces bons conseils avec les autres victimes :

• Gardez un calendrier strict et prenez des notes rigoureuses

• Assurez-vous que le responsable de l'application des lois à qui vous parlez prend également des notes.

• Notez la date et l'heure de l'appel, ainsi que leur nom et leurs coordonnées

• Contactez la police locale et dites-lui ce qui vous est arrivé

• Déposez un rapport IC3 détaillé, car cela aide les autorités fédérales à appréhender les criminels

Après avoir subi l'impact désastreux du vol de ma vie numérique en un clin d'œil, je crois qu'il n'y a qu'une seule réponse : des identités décentralisées où les données personnelles sont entièrement cryptées et stockées dans un portefeuille sécurisé.

Amro Shihadah est chroniqueur invité pour Cointelegraph et ancien directeur des opérations chez Nillion, et est un professionnel de la finance possédant une expertise dans la finance traditionnelle, les technologies blockchain et l'IA. Il est titulaire d'un diplôme de premier cycle en finance et en administration des affaires de l'American University et termine un MBA pour cadres à la Kellogg School of Management de la Northwestern University.

Cet article est destiné à des fins d’information générale et n’est pas destiné à être et ne doit pas être considéré comme un conseil juridique ou en investissement. Les points de vue, pensées et opinions exprimés ici appartiennent uniquement à l’auteur et ne reflètent pas ou ne représentent pas nécessairement les points de vue et opinions de Cointelegraph.