- Un MacBook retrouvé après avoir été perdu s’est retrouvé bloqué par Activation Lock et, même après soumission du reçu de l’Apple Store, la procédure d’assistance standard a refusé de lever le verrouillage
- Malgré une mise en avant à la 1re place sur Hacker News, Apple n’a pas pris contact, et c’est la piste de
tcook@apple.com, suggérée sur un Discord japonais de développeurs anglophones, qui a réellement permis de résoudre le problème - Quatre jours ouvrés après l’envoi de l’e-mail, l’équipe d’assistance de la direction de Tim Cook au Japon a répondu, et après environ deux semaines de vérifications, il est apparu que le MacBook avait été réinitialisé à la mi-août puis signalé comme perdu avec un nouveau compte iCloud
- Apple applique une politique selon laquelle un appareil signalé comme perdu n’est pas débloqué, même avec une preuve d’achat initiale, mais après examen de documents supplémentaires, l’entreprise a conclu que le MacBook appartenait bien à l’auteur et a levé le verrouillage
- Apple Security Research n’a pas considéré cela comme un problème de sécurité, mais ce cas met en lumière les failles du flux de configuration initial, qui permet de contourner facilement les réglages de Find My, ainsi que celles de la politique de déverrouillage
Déverrouillage escaladé par e-mail à Tim Cook
- Le MacBook perdu avait été restitué, mais Activation Lock était activé, et Apple a refusé de le déverrouiller alors même qu’un reçu de l’Apple Store avait été fourni
- Un billet relatant l’expérience précédente est monté en tête de Hacker News, mais Apple n’a pas contacté directement l’auteur
- Sur un Discord japonais de développeurs logiciels anglophones, un modérateur a expliqué qu’en envoyant un e-mail à
tcook@apple.com, l’équipe d’assistance de la direction pouvait faire remonter le dossier vers la personne capable de le résoudre - L’e-mail envoyé après avoir essayé toutes les voies normales contenait les points suivants
- Le MacBook avait été restitué après sa perte, mais Activation Lock était activé
- La demande de déverrouillage avait été refusée malgré la soumission du reçu de l’Apple Store
- Un billet sur cette expérience était en haut de Hacker News, et l’auteur espérait une issue positive à cette histoire frustrante
- Quatre jours ouvrés plus tard, l’équipe d’assistance de la direction de Tim Cook au Japon a répondu, puis les vérifications se sont poursuivies par e-mail et par téléphone pendant environ deux semaines
- Les éléments confirmés sont les suivants
- Le MacBook a été réinitialisé à la mi-août, après que l’auteur l’a perdu
- Il a été associé à un compte iCloud nouvellement créé
- Un compte dont l’adresse e-mail commençait par
pa signalé ce MacBook comme perdu
- Apple avait rejeté la demande initiale en raison de sa politique de non-déverrouillage des appareils signalés comme perdus, même en présence d’une preuve d’achat initiale
- L’équipe d’assistance de la direction s’est dite convaincue, au vu des documents fournis, que ce MacBook appartenait bien à l’auteur, et le verrouillage a donc été levé
- Il n’est pas certain que la diffusion sur Hacker News ait été décisive, mais l’auteur précise n’avoir pas fourni davantage de preuves à l’équipe d’assistance de la direction que lors de sa demande initiale de levée d’Activation Lock
Ce qui est réellement arrivé au MacBook et les questions qui restent
- Au moment où le verrouillage a été levé, un MacBook de remplacement avait déjà été acheté, et cette résolution relevait davantage d’une question de principe et de compréhension des faits que d’un besoin d’usage réel
- Apple a expliqué “comment” le MacBook avait été verrouillé, mais pas “pourquoi” cela s’était produit
- D’après les échanges par e-mail avec la personne qui a rendu le MacBook, les faits semblent être les suivants
- Cette personne ne l’a pas réinitialisé elle-même
- Elle l’a apporté dans une boutique pour demander un déverrouillage
- La boutique n’a pas pu le déverrouiller, mais a tout de même réinitialisé le MacBook
- Avant de le confier à la boutique, les informations du profil de connexion de l’auteur étaient visibles, mais elles ne l’étaient plus ensuite
- La boutique a réclamé de l’argent bien qu’elle ait échoué à déverrouiller l’appareil
- Quand on lui a demandé pourquoi de l’argent était exigé, cette personne a cessé de répondre
- L’auteur soupçonne que la boutique a pu réinitialiser le MacBook avec un nouvel Apple ID puis le signaler comme perdu afin d’extorquer de l’argent
- Elle a peut-être d’abord rendu l’appareil comme s’il était “déverrouillé”, puis l’a de nouveau bloqué plus tard en le déclarant perdu afin d’exiger des frais supplémentaires
- Ou bien elle a pu faire en sorte qu’elle seule puisse le déverrouiller, afin de demander un montant plus élevé
- Le fait que l’adresse iCloud commence par
ppourrait venir du nom “Paul McMahon” visible sur l’écran de connexion, à partir duquel une adresse e-mail plausible aurait été créée
- Lors de la configuration initiale du MacBook, Apple permet de passer facilement l’étape de configuration de Find My
- Étant donné la gravité des conséquences quand Find My n’est pas configuré, Apple devrait rendre ce risque plus explicite dans le flux de configuration initial ou réexaminer sa politique de déverrouillage
- Ce cas a été signalé à Apple Security Research, mais Apple a répondu qu’il “n’était pas possible d’identifier un problème de sécurité dans ce rapport”
1 commentaires
Avis de Hacker News
La police m’avait autrefois contacté pour me dire qu’elle avait retrouvé mon ordinateur portable volé, mais j’avais été très déçu de le voir revenir dans une enveloppe de preuve sous forme de coque réduite en miettes.
Dans ce cas précis, c’est une bonne chose que l’appareil ait pu être réutilisé, mais sur le fond j’y vois un problème artificiel imposé par l’entreprise qui l’a vendu.
Ne pas détenir la clé privée de son propre appareil signifie qu’au final, son droit d’usage dépend de la bonne volonté de personnes extrêmement riches et indifférentes ; obtenir une issue favorable comme ici semble relever de l’exception.
Un iPhone ou un Mac soumis à un verrouillage d’activation n’a généralement de valeur que pour être démonté et vendu en pièces détachées sur des marchés étrangers, et si l’on n’a pas de chance, on reçoit même des SMS de menace demandant de retirer l’appareil d’iCloud.
Le fait d’empêcher un voleur d’installer un nouveau firmware pour l’utiliser comme un appareil neuf est un argument de vente essentiel, et peut même justifier un prix plus élevé pour certains acheteurs.
0: https://old.reddit.com/r/applehelp/comments/13yn1o0/phone_st...
1: https://old.reddit.com/r/applehelp/comments/16fcd4c/recently...
À mon avis, il est tout simplement impossible, au départ, de posséder un ordinateur Apple.
Ce n’est rien d’autre que le dénigrement systématique d’Apple courant sur ce site ; c’est ennuyeux, sans grand intérêt et peu intéressant.
En 2023, on sait tout de la télémétrie, du matériel irréparable, des signalements de bugs et du service client façon “allez vous faire voir”, ainsi que du fait qu’on ne possède plus vraiment sa machine.
Quelqu’un qui achète Apple, et plus largement Microsoft, le fait en sachant qu’on ne lui donnera pas l’accès à son propre appareil, et en sachant aussi qu’il existe de meilleures options open source ; il doit donc en assumer les conséquences.
Quand le support client ne peut pas, ou ne veut pas, résoudre un problème produit, j’achète l’adresse e-mail et le numéro de téléphone du CEO sur des sites de vente de coordonnées, puis je le contacte directement.
C’est aussi comme ça que j’ai récemment réglé un problème de réception d’une indemnisation liée à une action collective contre Google, et j’ai reçu un chèque en express.
En revanche, avec Cash App, ça s’est retourné contre moi : on m’a répondu que “le compte a été clôturé parce que vous avez contacté un employé en dehors du système de support”.
Je me demande maintenant combien peut coûter le numéro de portable de Sundar Pichai. J’ai le nom d’utilisateur, le mot de passe et l’e-mail de récupération, mais je ne peux pas accéder à mon compte Google parce que je n’ai plus mon ancien numéro de téléphone.
Clôturer un compte parce que quelqu’un a essayé de résoudre un problème avec leur service ressemble à une insulte.
Pour cette raison, certaines entreprises hésitent à se lancer en Australie afin d’éviter de devoir traiter avec le gouvernement, mais comme les consommateurs australiens dépensent beaucoup, elles finissent par devoir se plier à ces règles.
C’est mieux si l’on est actionnaire, mais ce n’est pas indispensable ; chacun jugera de l’éthique consistant à emprunter des voies non standard quand la procédure standard ne fonctionne pas.
Ces boîtes de réception sont généralement consultées par des personnes compétentes, qui transmettent au moins le dossier à la bonne personne afin de clôturer un cas créé en interne.
Patio11 aborde aussi cette méthode et le fait de contacter le service juridique dans la section “Where exactly should I address letters?” de https://www.kalzumeus.com/2017/09/09/identity-theft-credit-r...
Si l’on ne trouve pas d’adresse, il suffit d’envoyer une lettre au siège avec la mention “ATTN LEGAL DEPARTMENT”, et ce genre de courrier est ouvert par des gens coûteux.
J’avais autrefois envoyé au service relations investisseurs une question sur le rapport annuel d’une entreprise d’environ 2 milliards de dollars de capitalisation dont je détenais des actions, mais je n’ai pas eu de réponse, même après un e-mail de relance ; j’ai donc vendu la moitié de mes titres, et au final j’en ai été très satisfait.
Il y a une raison pour laquelle je n’achète plus de MacBook à titre personnel.
En 2019, j’ai dépensé plus de 3 000 euros pour le MacBook 15 pouces le plus haut de gamme de l’époque, soit plus de deux mois de salaire moyen dans mon pays en Europe.
Deux semaines avant la fin de la garantie d’un an, la barre d’espace est tombée en panne ; comme il s’agissait d’un problème de conception, le centre de service local l’a remplacée sous garantie en quelques jours.
Un an plus tard, la batterie était en train de mourir, et quand je suis allé dans un réparateur agréé, on m’a dit qu’il fallait remplacer tout le clavier et le trackpad pour changer la batterie, pour environ 750 euros.
Un réparateur PC m’a proposé de le faire pour quelques centaines d’euros ; je lui ai confié la machine et tout fonctionnait bien, mais trois mois plus tard, l’ordinateur s’est soudainement éteint.
Apple a refusé même une réparation payante au motif qu’une batterie non officielle avait été utilisée, et le Mac est devenu une brique.
Au final, 2,5 ans d’usage personnel m’ont coûté 3 500 euros, plus cher qu’une petite voiture d’occasion.
Si c’est vrai, c’est tellement incroyable que cela devrait faire la une pour éviter que quiconque ne commette à nouveau l’erreur d’acheter un portable Apple.
Apple m’a renvoyé mes AirPods Max, qui semblaient avoir été remplacés par un produit reconditionné.
Après ne pas les avoir utilisés pendant quelques jours, j’ai entendu un son et je les ai sortis : mon iPhone a affiché une notification indiquant que ces AirPods Max étaient liés à un compte iCloud.
Trouvant désagréable qu’Apple m’ait fourni un casque traçable, j’ai envoyé un e-mail à Tim pour lui expliquer la situation.
Le lendemain, l’équipe Executive Relations d’Apple m’a appelé pour demander des détails, et j’ai dit que je voulais un casque neuf, pas reconditionné, ainsi qu’une confirmation quant au fait qu’il était réellement traçable.
Le jour suivant, les deux réponses sont arrivées : pas de remplacement par un produit neuf, le compte associé à Find My permettait bien de le suivre, et ils étaient désolés.
Difficile de croire qu’on m’ait répondu de simplement faire avec ce problème de casque.
C’est appréciable que l’équipe exécutive de Tim ait réglé le problème, mais plus largement, cela semble montrer qu’il faut un mécanisme pour lier l’identité réelle, l’identité numérique et les appareils.
Au lieu d’une preuve d’achat, on présenterait une pièce d’identité gouvernementale associée à un compte ou à un appareil ; si la procédure de vérification d’identité est fiable, on confirmerait que vous êtes bien la personne qui a lié cette identité à l’appareil, afin de récupérer l’accès à l’appareil ou au compte.
Envoyer un e-mail à Tim n’est pas une méthode qui passe à l’échelle.
J’ai déjà soumis un avis à la FTC sur le vide réglementaire autour de la récupération de compte, et l’identité est un élément traité dans le travail de sécurité de l’information centré sur les services financiers.
Le cœur du sujet, c’est que l’appareil est vendu sans que l’acheteur possède la clé privée utilisée pour le configurer.
Si la clé n’est pas à moi, l’appareil n’est pas à moi non plus.
Une fois que ce sera le cas, l’industrie lancera une campagne pour y relier aussi les comptes en ligne.
Je ne fais pas confiance à l’État ni à l’industrie à ce point.
L’auteur du billet original avait la possibilité de créer ce lien, mais a choisi de ne pas le faire.
J’aime les services Apple, mais je comprends qu’on ne veuille pas que son ordinateur communique en permanence avec une grande entreprise tech.
En revanche, j’ai du mal à comprendre pourquoi quelqu’un qui refuse de communiquer avec Apple jugerait acceptable de communiquer avec l’État.
Toutes les entreprises devraient être capables de répondre à leurs clients d’humain à humain.
L’attitude consistant à dire « nous sommes trop grands pour qu’un client humain puisse parler à un humain » est en train de se normaliser, et c’est une tendance qu’il faut inverser.
Faire croître une source de revenus sans investir dans le support dont elle a besoin est une mauvaise pratique commerciale.
Pour les problèmes avec Dell, HP ou Lenovo, il fallait envoyer l’appareil et prier ; pour un problème Apple, je pouvais entrer dans la boutique de Covent Garden et poser la question.
Mon expérience du support Apple a été globalement très bonne, à une seule exception près : une erreur de commande d’AppleCare et AppleCare+ pour un usage professionnel.
Il ne pouvait pas, ou ne voulait pas, s’en occuper directement.
https://support.apple.com/contact
Lors de la première activation d’un MacBook, Apple permet de passer facilement l’étape de configuration de Find My ; mais si les conséquences de ce choix sont graves, la suggestion de modifier le parcours de configuration paraît pertinente.
Il faudrait soit avertir clairement des conséquences lorsqu’on saute cette étape, soit réexaminer la politique de déverrouillage elle-même.
Il n’y a pas de position qui satisfasse tout le monde ici.
Il devrait dire quelque chose comme : « Si vous ignorez cette étape, quelqu’un pourra ajouter cet appareil à son propre compte Find My et vous en bloquer l’accès. Si cela se produit, Apple ne vous aidera en aucun cas. Pour conserver l’accès à cet objet coûteux que vous venez d’acheter, nous vous recommandons de l’ajouter à votre compte Find My. »
Si l’OS pouvait seulement démarrer, le mot de passe du firmware ne serait pas nécessaire ; il ne l’est que pour effacer la machine. Je ne veux pas l’effacer, je veux qu’elle démarre.
Je l’ai acheté en espèces à Grand Central, j’ai encore l’e-mail « Welcome to your New Mac » de la semaine de lancement, et il figure toujours dans Find My.
En revanche, je n’ai pas gardé le reçu papier, et j’avais défini un mot de passe de firmware avant un voyage à l’étranger, que je ne retrouve plus.
Apple refuse de le déverrouiller, alors même qu’il est dans Find My et qu’il m’a appartenu du début à la fin.
Ils refusent aussi de le déverrouiller, corriger la mise à jour de l’OS défectueuse, puis le reverrouiller.
De mon point de vue, Apple a cassé ma machine et m’empêche de la réparer.
Find My ne vous protège donc pas non plus contre Apple elle-même.
C’est un peu un autre sujet, mais je pense que les dispositifs comme Activation Lock devraient avoir une date d’expiration de 2 à 3 ans
Cela réduirait fortement les déchets électroniques absurdes, où des ordinateurs parfaitement fonctionnels finissent jetés simplement parce que quelqu’un ne s’est pas déconnecté.
Au bout d’environ un an, à peu près un tiers finissaient comme ça.
Beaucoup de criminels seraient tout à fait prêts à voler un iPhone neuf s’ils pouvaient le revendre trois ans plus tard.
Cette politique vise à empêcher qu’une personne vende un portable, que le nouvel acheteur configure un compte Find My Mac, puis que le vendeur le vole à nouveau et demande à Apple de le lui réattribuer.
Dans de nombreuses juridictions, il est possible, sous certaines conditions, d’acheter légalement des biens volés ; il y a bien la question du principe de prudence de l’acheteur, mais si le verrouillage intervient après l’achat, Apple pourrait en théorie être contraint de le lever au bénéfice du nouveau propriétaire
Il existe aussi quantité de transferts de propriété bien moins suspects, et tant que la loi reconnaît le marché de l’occasion, Apple n’est pas en position d’arbitrer tout cela.
Et contre ce genre de scénario non plus, le MacBook n’a aucune protection.
Je crois que ma lettre à Tim Cook a aussi eu un effet
macOS Big Sur avait cassé la prise en charge des écrans externes à haut taux de rafraîchissement sur les Mac Intel
Le problème venait de la fonction DSC de HDMI/DisplayPort, et les personnes qui utilisaient sans problème du 4K@144Hz sous Catalina, il y a quatre ans, se sont retrouvées limitées à 60Hz après Big Sur
Le support Apple et l’équipe d’ingénierie m’ont demandé d’installer Catalina pour leur montrer que le 4K@144Hz fonctionnait bien, ont récupéré une grosse quantité de données de diagnostic, puis ont répondu que « comme solution, je pouvais revenir à Catalina »
J’ai écrit à Tim Cook avec le numéro de dossier, et, à ma grande surprise, le problème a été corrigé dans macOS Sonoma.