2 points par GN⁺ 2023-12-20 | 1 commentaires | Partager sur WhatsApp
  • Un MacBook retrouvé après avoir été perdu s’est retrouvé bloqué par Activation Lock et, même après soumission du reçu de l’Apple Store, la procédure d’assistance standard a refusé de lever le verrouillage
  • Malgré une mise en avant à la 1re place sur Hacker News, Apple n’a pas pris contact, et c’est la piste de tcook@apple.com, suggérée sur un Discord japonais de développeurs anglophones, qui a réellement permis de résoudre le problème
  • Quatre jours ouvrés après l’envoi de l’e-mail, l’équipe d’assistance de la direction de Tim Cook au Japon a répondu, et après environ deux semaines de vérifications, il est apparu que le MacBook avait été réinitialisé à la mi-août puis signalé comme perdu avec un nouveau compte iCloud
  • Apple applique une politique selon laquelle un appareil signalé comme perdu n’est pas débloqué, même avec une preuve d’achat initiale, mais après examen de documents supplémentaires, l’entreprise a conclu que le MacBook appartenait bien à l’auteur et a levé le verrouillage
  • Apple Security Research n’a pas considéré cela comme un problème de sécurité, mais ce cas met en lumière les failles du flux de configuration initial, qui permet de contourner facilement les réglages de Find My, ainsi que celles de la politique de déverrouillage

Déverrouillage escaladé par e-mail à Tim Cook

  • Le MacBook perdu avait été restitué, mais Activation Lock était activé, et Apple a refusé de le déverrouiller alors même qu’un reçu de l’Apple Store avait été fourni
  • Un billet relatant l’expérience précédente est monté en tête de Hacker News, mais Apple n’a pas contacté directement l’auteur
  • Sur un Discord japonais de développeurs logiciels anglophones, un modérateur a expliqué qu’en envoyant un e-mail à tcook@apple.com, l’équipe d’assistance de la direction pouvait faire remonter le dossier vers la personne capable de le résoudre
  • L’e-mail envoyé après avoir essayé toutes les voies normales contenait les points suivants
    • Le MacBook avait été restitué après sa perte, mais Activation Lock était activé
    • La demande de déverrouillage avait été refusée malgré la soumission du reçu de l’Apple Store
    • Un billet sur cette expérience était en haut de Hacker News, et l’auteur espérait une issue positive à cette histoire frustrante
  • Quatre jours ouvrés plus tard, l’équipe d’assistance de la direction de Tim Cook au Japon a répondu, puis les vérifications se sont poursuivies par e-mail et par téléphone pendant environ deux semaines
  • Les éléments confirmés sont les suivants
    • Le MacBook a été réinitialisé à la mi-août, après que l’auteur l’a perdu
    • Il a été associé à un compte iCloud nouvellement créé
    • Un compte dont l’adresse e-mail commençait par p a signalé ce MacBook comme perdu
  • Apple avait rejeté la demande initiale en raison de sa politique de non-déverrouillage des appareils signalés comme perdus, même en présence d’une preuve d’achat initiale
  • L’équipe d’assistance de la direction s’est dite convaincue, au vu des documents fournis, que ce MacBook appartenait bien à l’auteur, et le verrouillage a donc été levé
  • Il n’est pas certain que la diffusion sur Hacker News ait été décisive, mais l’auteur précise n’avoir pas fourni davantage de preuves à l’équipe d’assistance de la direction que lors de sa demande initiale de levée d’Activation Lock

Ce qui est réellement arrivé au MacBook et les questions qui restent

  • Au moment où le verrouillage a été levé, un MacBook de remplacement avait déjà été acheté, et cette résolution relevait davantage d’une question de principe et de compréhension des faits que d’un besoin d’usage réel
  • Apple a expliqué “comment” le MacBook avait été verrouillé, mais pas “pourquoi” cela s’était produit
  • D’après les échanges par e-mail avec la personne qui a rendu le MacBook, les faits semblent être les suivants
    • Cette personne ne l’a pas réinitialisé elle-même
    • Elle l’a apporté dans une boutique pour demander un déverrouillage
    • La boutique n’a pas pu le déverrouiller, mais a tout de même réinitialisé le MacBook
    • Avant de le confier à la boutique, les informations du profil de connexion de l’auteur étaient visibles, mais elles ne l’étaient plus ensuite
    • La boutique a réclamé de l’argent bien qu’elle ait échoué à déverrouiller l’appareil
    • Quand on lui a demandé pourquoi de l’argent était exigé, cette personne a cessé de répondre
  • L’auteur soupçonne que la boutique a pu réinitialiser le MacBook avec un nouvel Apple ID puis le signaler comme perdu afin d’extorquer de l’argent
    • Elle a peut-être d’abord rendu l’appareil comme s’il était “déverrouillé”, puis l’a de nouveau bloqué plus tard en le déclarant perdu afin d’exiger des frais supplémentaires
    • Ou bien elle a pu faire en sorte qu’elle seule puisse le déverrouiller, afin de demander un montant plus élevé
    • Le fait que l’adresse iCloud commence par p pourrait venir du nom “Paul McMahon” visible sur l’écran de connexion, à partir duquel une adresse e-mail plausible aurait été créée
  • Lors de la configuration initiale du MacBook, Apple permet de passer facilement l’étape de configuration de Find My
  • Étant donné la gravité des conséquences quand Find My n’est pas configuré, Apple devrait rendre ce risque plus explicite dans le flux de configuration initial ou réexaminer sa politique de déverrouillage
  • Ce cas a été signalé à Apple Security Research, mais Apple a répondu qu’il “n’était pas possible d’identifier un problème de sécurité dans ce rapport”

1 commentaires

 
GN⁺ 2023-12-20
Avis de Hacker News
  • La police m’avait autrefois contacté pour me dire qu’elle avait retrouvé mon ordinateur portable volé, mais j’avais été très déçu de le voir revenir dans une enveloppe de preuve sous forme de coque réduite en miettes.
    Dans ce cas précis, c’est une bonne chose que l’appareil ait pu être réutilisé, mais sur le fond j’y vois un problème artificiel imposé par l’entreprise qui l’a vendu.
    Ne pas détenir la clé privée de son propre appareil signifie qu’au final, son droit d’usage dépend de la bonne volonté de personnes extrêmement riches et indifférentes ; obtenir une issue favorable comme ici semble relever de l’exception.

    • Je me demande quelle serait une meilleure solution tout en conservant la fonction antivol.
      Un iPhone ou un Mac soumis à un verrouillage d’activation n’a généralement de valeur que pour être démonté et vendu en pièces détachées sur des marchés étrangers, et si l’on n’a pas de chance, on reçoit même des SMS de menace demandant de retirer l’appareil d’iCloud.
      Le fait d’empêcher un voleur d’installer un nouveau firmware pour l’utiliser comme un appareil neuf est un argument de vente essentiel, et peut même justifier un prix plus élevé pour certains acheteurs.
      0: https://old.reddit.com/r/applehelp/comments/13yn1o0/phone_st...
      1: https://old.reddit.com/r/applehelp/comments/16fcd4c/recently...
    • La partie sur le fait de “ne pas détenir la clé privée de son propre appareil” est une erreur de compréhension.
      À mon avis, il est tout simplement impossible, au départ, de posséder un ordinateur Apple.
    • Le billet original fait l’éloge d’Activation Lock tout en critiquant le fait qu’on puisse ignorer sa configuration, mais on transforme cela en argument selon lequel Activation Lock lui-même serait mauvais.
      Ce n’est rien d’autre que le dénigrement systématique d’Apple courant sur ce site ; c’est ennuyeux, sans grand intérêt et peu intéressant.
    • Ce n’est pas un problème imposé par l’entreprise, mais entièrement un problème que l’utilisateur s’est créé lui-même.
      En 2023, on sait tout de la télémétrie, du matériel irréparable, des signalements de bugs et du service client façon “allez vous faire voir”, ainsi que du fait qu’on ne possède plus vraiment sa machine.
      Quelqu’un qui achète Apple, et plus largement Microsoft, le fait en sachant qu’on ne lui donnera pas l’accès à son propre appareil, et en sachant aussi qu’il existe de meilleures options open source ; il doit donc en assumer les conséquences.
    • Désormais, même le matériel n’appartient vraiment à personne.
  • Quand le support client ne peut pas, ou ne veut pas, résoudre un problème produit, j’achète l’adresse e-mail et le numéro de téléphone du CEO sur des sites de vente de coordonnées, puis je le contacte directement.
    C’est aussi comme ça que j’ai récemment réglé un problème de réception d’une indemnisation liée à une action collective contre Google, et j’ai reçu un chèque en express.
    En revanche, avec Cash App, ça s’est retourné contre moi : on m’a répondu que “le compte a été clôturé parce que vous avez contacté un employé en dehors du système de support”.
    Je me demande maintenant combien peut coûter le numéro de portable de Sundar Pichai. J’ai le nom d’utilisateur, le mot de passe et l’e-mail de récupération, mais je ne peux pas accéder à mon compte Google parce que je n’ai plus mon ancien numéro de téléphone.

    • Pour l’affaire Cash App, déposer une réclamation auprès du Consumer Financial Protection Bureau devrait régler ça rapidement.
    • Si tu peux partager, j’aimerais entendre l’histoire de Cash App.
      Clôturer un compte parce que quelqu’un a essayé de résoudre un problème avec leur service ressemble à une insulte.
    • En Australie, il y a l’ACCC pour aider les consommateurs, et le droit de la consommation est assez solide.
      Pour cette raison, certaines entreprises hésitent à se lancer en Australie afin d’éviter de devoir traiter avec le gouvernement, mais comme les consommateurs australiens dépensent beaucoup, elles finissent par devoir se plier à ces règles.
    • Acheter un numéro de téléphone personnel pour contacter quelqu’un à propos d’une demande de support peut aussi être considéré comme du harcèlement.
    • Une autre méthode consiste à contacter le service relations investisseurs.
      C’est mieux si l’on est actionnaire, mais ce n’est pas indispensable ; chacun jugera de l’éthique consistant à emprunter des voies non standard quand la procédure standard ne fonctionne pas.
      Ces boîtes de réception sont généralement consultées par des personnes compétentes, qui transmettent au moins le dossier à la bonne personne afin de clôturer un cas créé en interne.
      Patio11 aborde aussi cette méthode et le fait de contacter le service juridique dans la section “Where exactly should I address letters?” de https://www.kalzumeus.com/2017/09/09/identity-theft-credit-r...
      Si l’on ne trouve pas d’adresse, il suffit d’envoyer une lettre au siège avec la mention “ATTN LEGAL DEPARTMENT”, et ce genre de courrier est ouvert par des gens coûteux.
      J’avais autrefois envoyé au service relations investisseurs une question sur le rapport annuel d’une entreprise d’environ 2 milliards de dollars de capitalisation dont je détenais des actions, mais je n’ai pas eu de réponse, même après un e-mail de relance ; j’ai donc vendu la moitié de mes titres, et au final j’en ai été très satisfait.
  • Il y a une raison pour laquelle je n’achète plus de MacBook à titre personnel.
    En 2019, j’ai dépensé plus de 3 000 euros pour le MacBook 15 pouces le plus haut de gamme de l’époque, soit plus de deux mois de salaire moyen dans mon pays en Europe.
    Deux semaines avant la fin de la garantie d’un an, la barre d’espace est tombée en panne ; comme il s’agissait d’un problème de conception, le centre de service local l’a remplacée sous garantie en quelques jours.
    Un an plus tard, la batterie était en train de mourir, et quand je suis allé dans un réparateur agréé, on m’a dit qu’il fallait remplacer tout le clavier et le trackpad pour changer la batterie, pour environ 750 euros.
    Un réparateur PC m’a proposé de le faire pour quelques centaines d’euros ; je lui ai confié la machine et tout fonctionnait bien, mais trois mois plus tard, l’ordinateur s’est soudainement éteint.
    Apple a refusé même une réparation payante au motif qu’une batterie non officielle avait été utilisée, et le Mac est devenu une brique.
    Au final, 2,5 ans d’usage personnel m’ont coûté 3 500 euros, plus cher qu’une petite voiture d’occasion.

    • On dirait que cela signifie qu’on ne peut pas remplacer la batterie d’un ordinateur portable Apple hors garantie pour moins de 1 000 euros.
      Si c’est vrai, c’est tellement incroyable que cela devrait faire la une pour éviter que quiconque ne commette à nouveau l’erreur d’acheter un portable Apple.
    • Mon ordinateur portable Toshiba à 400 dollars acheté en 2013 fonctionne toujours parfaitement, et le modèle de 2015 tient bien aussi.
    • Cela dit, on pouvait aussi acheter trois ans d’AppleCare pour 140 dollars.
  • Apple m’a renvoyé mes AirPods Max, qui semblaient avoir été remplacés par un produit reconditionné.
    Après ne pas les avoir utilisés pendant quelques jours, j’ai entendu un son et je les ai sortis : mon iPhone a affiché une notification indiquant que ces AirPods Max étaient liés à un compte iCloud.
    Trouvant désagréable qu’Apple m’ait fourni un casque traçable, j’ai envoyé un e-mail à Tim pour lui expliquer la situation.
    Le lendemain, l’équipe Executive Relations d’Apple m’a appelé pour demander des détails, et j’ai dit que je voulais un casque neuf, pas reconditionné, ainsi qu’une confirmation quant au fait qu’il était réellement traçable.
    Le jour suivant, les deux réponses sont arrivées : pas de remplacement par un produit neuf, le compte associé à Find My permettait bien de le suivre, et ils étaient désolés.

    • Le fait même de remplacer par un produit reconditionné n’a aucun sens.
    • Je ne m’attendais pas à une telle issue.
      Difficile de croire qu’on m’ait répondu de simplement faire avec ce problème de casque.
  • C’est appréciable que l’équipe exécutive de Tim ait réglé le problème, mais plus largement, cela semble montrer qu’il faut un mécanisme pour lier l’identité réelle, l’identité numérique et les appareils.
    Au lieu d’une preuve d’achat, on présenterait une pièce d’identité gouvernementale associée à un compte ou à un appareil ; si la procédure de vérification d’identité est fiable, on confirmerait que vous êtes bien la personne qui a lié cette identité à l’appareil, afin de récupérer l’accès à l’appareil ou au compte.
    Envoyer un e-mail à Tim n’est pas une méthode qui passe à l’échelle.
    J’ai déjà soumis un avis à la FTC sur le vide réglementaire autour de la récupération de compte, et l’identité est un élément traité dans le travail de sécurité de l’information centré sur les services financiers.

    • Lier l’identité réelle à une machine est une très mauvaise solution à ce problème, née d’une mauvaise compréhension du problème lui-même.
      Le cœur du sujet, c’est que l’appareil est vendu sans que l’acheteur possède la clé privée utilisée pour le configurer.
      Si la clé n’est pas à moi, l’appareil n’est pas à moi non plus.
    • Lier l’identité réelle à l’identité numérique et aux appareils crée plus de problèmes que cela n’en résout.
    • L’Estonie dispose d’un système qui y ressemble un peu : https://e-estonia.com/solutions/e-identity/id-card/
    • Je ne veux absolument pas que mon identité soit liée au matériel.
      Une fois que ce sera le cas, l’industrie lancera une campagne pour y relier aussi les comptes en ligne.
      Je ne fais pas confiance à l’État ni à l’industrie à ce point.
    • Pour empêcher cette situation, il aurait suffi de lier l’identité numérique à la propriété de l’appareil, sans faire intervenir l’identité réelle.
      L’auteur du billet original avait la possibilité de créer ce lien, mais a choisi de ne pas le faire.
      J’aime les services Apple, mais je comprends qu’on ne veuille pas que son ordinateur communique en permanence avec une grande entreprise tech.
      En revanche, j’ai du mal à comprendre pourquoi quelqu’un qui refuse de communiquer avec Apple jugerait acceptable de communiquer avec l’État.
  • Toutes les entreprises devraient être capables de répondre à leurs clients d’humain à humain.
    L’attitude consistant à dire « nous sommes trop grands pour qu’un client humain puisse parler à un humain » est en train de se normaliser, et c’est une tendance qu’il faut inverser.
    Faire croître une source de revenus sans investir dans le support dont elle a besoin est une mauvaise pratique commerciale.

    • Ironiquement, l’une des raisons pour lesquelles j’utilisais des produits Apple était le support humain auquel j’avais accès quand je vivais à Londres.
      Pour les problèmes avec Dell, HP ou Lenovo, il fallait envoyer l’appareil et prier ; pour un problème Apple, je pouvais entrer dans la boutique de Covent Garden et poser la question.
      Mon expérience du support Apple a été globalement très bonne, à une seule exception près : une erreur de commande d’AppleCare et AppleCare+ pour un usage professionnel.
    • Récemment, dans une agence bancaire locale, après 30 minutes d’attente, l’employé que j’ai rencontré m’a dit de résoudre le problème via la hotline téléphonique.
      Il ne pouvait pas, ou ne voulait pas, s’en occuper directement.
    • D’après mon expérience, Apple permet d’obtenir assez rapidement un appel téléphonique d’un conseiller.
      https://support.apple.com/contact
    • Moralement, c’est peut-être une mauvaise pratique, mais d’un point de vue business, dépenser le moins possible dans les « centres de coûts » peut aussi être considéré comme une bonne chose.
    • Je me demande si vous n’avez jamais eu affaire à une personne inutile qui vous a fait perdre plus de temps qu’un chatbot.
  • Lors de la première activation d’un MacBook, Apple permet de passer facilement l’étape de configuration de Find My ; mais si les conséquences de ce choix sont graves, la suggestion de modifier le parcours de configuration paraît pertinente.
    Il faudrait soit avertir clairement des conséquences lorsqu’on saute cette étape, soit réexaminer la politique de déverrouillage elle-même.

    • Dans ce cas, Apple sera immédiatement accusée publiquement de faire peur aux utilisateurs pour les forcer à créer un compte.
      Il n’y a pas de position qui satisfasse tout le monde ici.
    • Si ne pas ajouter l’appareil à un compte Find My signifie que quelqu’un d’autre peut l’ajouter à son propre compte et le verrouiller, alors l’avertissement doit le dire explicitement.
      Il devrait dire quelque chose comme : « Si vous ignorez cette étape, quelqu’un pourra ajouter cet appareil à son propre compte Find My et vous en bloquer l’accès. Si cela se produit, Apple ne vous aidera en aucun cas. Pour conserver l’accès à cet objet coûteux que vous venez d’acheter, nous vous recommandons de l’ajouter à votre compte Find My. »
    • Sur un MacBook 2019 rendu inutilisable par une mise à jour de l’OS, je suis bloqué par un verrouillage du firmware.
      Si l’OS pouvait seulement démarrer, le mot de passe du firmware ne serait pas nécessaire ; il ne l’est que pour effacer la machine. Je ne veux pas l’effacer, je veux qu’elle démarre.
      Je l’ai acheté en espèces à Grand Central, j’ai encore l’e-mail « Welcome to your New Mac » de la semaine de lancement, et il figure toujours dans Find My.
      En revanche, je n’ai pas gardé le reçu papier, et j’avais défini un mot de passe de firmware avant un voyage à l’étranger, que je ne retrouve plus.
      Apple refuse de le déverrouiller, alors même qu’il est dans Find My et qu’il m’a appartenu du début à la fin.
      Ils refusent aussi de le déverrouiller, corriger la mise à jour de l’OS défectueuse, puis le reverrouiller.
      De mon point de vue, Apple a cassé ma machine et m’empêche de la réparer.
      Find My ne vous protège donc pas non plus contre Apple elle-même.
  • C’est un peu un autre sujet, mais je pense que les dispositifs comme Activation Lock devraient avoir une date d’expiration de 2 à 3 ans
    Cela réduirait fortement les déchets électroniques absurdes, où des ordinateurs parfaitement fonctionnels finissent jetés simplement parce que quelqu’un ne s’est pas déconnecté.

    • J’ai travaillé autrefois chez un concessionnaire automobile, et j’ai vu de mes propres yeux plus de 10 iPad finir à la poubelle parce que, avec le temps, plus personne ne pouvait s’y connecter
      Au bout d’environ un an, à peu près un tiers finissaient comme ça.
    • L’an dernier, le propriétaire d’un bar m’a donné une caisse d’iPhone laissés sur place ; beaucoup étaient presque neufs, mais sur environ 24 appareils, le seul récupérable était un iPhone 7, et le reste est devenu du déchet électronique.
    • Avec des MacBook d’entreprise, il n’y a pas ce souci.
    • Les déchets électroniques sont un problème, mais transformer l’appareil en brique reste le seul vrai moyen de dissuasion contre le vol
      Beaucoup de criminels seraient tout à fait prêts à voler un iPhone neuf s’ils pouvaient le revendre trois ans plus tard.
  • Cette politique vise à empêcher qu’une personne vende un portable, que le nouvel acheteur configure un compte Find My Mac, puis que le vendeur le vole à nouveau et demande à Apple de le lui réattribuer.

    • Quelle que soit la politique qu’Apple met en place, elle ne correspondra jamais exactement à la définition réelle de la propriété légale
      Dans de nombreuses juridictions, il est possible, sous certaines conditions, d’acheter légalement des biens volés ; il y a bien la question du principe de prudence de l’acheteur, mais si le verrouillage intervient après l’achat, Apple pourrait en théorie être contraint de le lever au bénéfice du nouveau propriétaire
      Il existe aussi quantité de transferts de propriété bien moins suspects, et tant que la loi reconnaît le marché de l’occasion, Apple n’est pas en position d’arbitrer tout cela.
    • Ce scénario paraît à peine plus plausible que celui consistant à pirater une centrale nucléaire avec un MacBook pour la faire exploser
      Et contre ce genre de scénario non plus, le MacBook n’a aucune protection.
    • Est-ce que les cas où quelqu’un vend un appareil puis le vole à nouveau peuvent vraiment être assez fréquents pour justifier cette politique ?
  • Je crois que ma lettre à Tim Cook a aussi eu un effet
    macOS Big Sur avait cassé la prise en charge des écrans externes à haut taux de rafraîchissement sur les Mac Intel
    Le problème venait de la fonction DSC de HDMI/DisplayPort, et les personnes qui utilisaient sans problème du 4K@144Hz sous Catalina, il y a quatre ans, se sont retrouvées limitées à 60Hz après Big Sur
    Le support Apple et l’équipe d’ingénierie m’ont demandé d’installer Catalina pour leur montrer que le 4K@144Hz fonctionnait bien, ont récupéré une grosse quantité de données de diagnostic, puis ont répondu que « comme solution, je pouvais revenir à Catalina »
    J’ai écrit à Tim Cook avec le numéro de dossier, et, à ma grande surprise, le problème a été corrigé dans macOS Sonoma.