Les cartes cadeaux Apple sont-elles sûres ?

 (daringfireball.net)
1 points par GN⁺ 2025-12-19 | 1 commentaires | Partager sur WhatsApp
  • Un utilisateur a vu son compte Apple verrouillé et tout accès à ses contenus perdu après avoir utilisé une carte cadeau Apple de 500 dollars falsifiée
  • La carte semblait authentique et achetée dans une grande enseigne physique, mais juste après l’échange, le compte a été désactivé et tout l’historique d’achats iCloud et App Store a disparu
  • Adam Engst de TidBITS estime qu’en raison de ce risque, « les cartes cadeaux Apple doivent pratiquement être traitées comme un malware numérique », et appelle à éviter de les acheter ou de les utiliser
  • L’équipe Executive Relations d’Apple a enquêté sur l’incident, mais la cause de la désactivation et la procédure de restauration sont restées floues ; le compte a finalement été rétabli une semaine plus tard
  • Ce cas met en lumière des inquiétudes concernant la fiabilité des cartes cadeaux Apple et l’opacité du système de sécurité des comptes

L’affaire du verrouillage du compte Apple de Paris Butterfield-Addison

  • Butterfield-Addison a acheté puis utilisé une carte cadeau Apple de 500 dollars dans une grande enseigne, et juste après, son compte Apple a été verrouillé, avec blocage de tous ses achats multimédias et de l’accès à iCloud
    • Il a raconté l’incident sur son blog, puis plusieurs médias comme Daring Fireball, Michael Tsai, Nick Heer, AppleInsider et The Register l’ont relayé
    • L’équipe Executive Relations d’Apple a enquêté sur l’affaire, mais au départ, ni la restauration du compte ni l’explication de la cause n’ont été fournies
  • Gruber a évoqué la possibilité que le montant relativement élevé de 500 dollars ait contribué au problème, mais Apple n’ayant donné aucune explication officielle, cela reste invérifiable
    • Apple limite aux États-Unis le montant maximal des cartes cadeaux à 2 000 dollars, donc 500 dollars n’a en soi rien d’anormal

Polémique sur la sécurité des cartes cadeaux Apple

  • Adam Engst de TidBITS affirme que « l’utilisation d’une carte cadeau falsifiée peut entraîner le verrouillage d’un compte » et qu’il faut donc éviter d’acheter des cartes cadeaux Apple et mieux faire connaître ce risque
    • Il compare cela à une « roulette russe numérique » et avertit que c’est risqué même pour offrir
  • Après cet incident, Gruber a indiqué qu’il n’utiliserait plus les cartes cadeaux qu’en direct dans un Apple Store, et pas pour des achats liés à son compte Apple
    • Il souligne que les méthodes de fraude deviennent de plus en plus sophistiquées et que même une source de carte apparemment fiable ne garantit pas une sécurité totale

Opacité de la désactivation et de la restauration du compte

  • Gruber souligne qu’il n’est pas clair si la décision de désactiver le compte Apple relève d’un humain ou d’un algorithme automatisé de détection de fraude
    • Il résume la situation ainsi : « on pourrait penser qu’Apple peut rétablir un compte d’un simple interrupteur, mais en pratique cela semble impossible »
  • Il évoque aussi que, si la restauration du compte s’avérait impossible, Apple pourrait choisir de rembourser tous les achats de l’utilisateur puis de lui faire créer un nouveau compte
    • Une telle procédure implique le risque d’une perte permanente des données utilisateur et de l’historique d’achats

Développements après l’incident

  • Peu après la publication du billet, Butterfield-Addison a ajouté une mise à jour indiquant que son compte avait été restauré par une responsable de l’équipe Executive Relations d’Apple
    • Le compte a bien été rétabli, mais les raisons du verrouillage et le fait que la résolution ait pris une semaine restent inexpliqués
  • Même après la résolution de l’affaire, Gruber estime qu’une question de fond demeure : « dans quelle mesure est-il sûr d’utiliser une carte cadeau Apple ? »

Questions en suspens et implications

  • Ce cas met en évidence les faiblesses du système de cartes cadeaux Apple et l’opacité des procédures de gestion des comptes
  • Il montre qu’un verrouillage de compte peut survenir même via un circuit d’achat normal, ce qui affecte la confiance des utilisateurs
  • La question de savoir si les dispositifs internes de sécurité et de support client d’Apple reposent excessivement sur l’automatisation s’impose comme l’un des principaux enjeux

À lire aussi

1 commentaires

 
GN⁺ 2025-12-19
Réactions sur Hacker News

  • Cette affaire soulève plusieurs sujets. À une époque où les comptes Apple/iCloud sont devenus indispensables au quotidien, le fait qu’un compte puisse être suspendu aussi facilement est un problème grave
    L’accès aux messages, à Apple Wallet, aux pièces d’identité numériques, aux abonnements, aux achats de médias, etc., peut être coupé d’un seul coup. Au-delà du simple conseil de « ne pas dépendre de la technologie », il faudrait des mécanismes de prévention pour éviter ce genre de situation
    Il n’existe pas non plus de fonction pour répartir l’historique des achats lors d’un divorce ou d’une séparation, et il est impossible de s’émanciper d’un compte familial ou d’affecter un enfant à plusieurs familles. Apple devrait mieux gérer ce type de scénarios très concrets

    • J’ai l’impression que le niveau de service actuel n’est pas meilleur qu’il y a 25 ans. À l’époque, perdre son e-mail n’était pas dramatique, mais aujourd’hui un seul compte est relié à des centaines de services importants
      Pourtant, les équipes de support client ont à peine grandi, et l’on dépend surtout de centres d’appels externalisés qui se contentent de lire la FAQ
    • Les comptes Apple et Google sont extrêmement importants, mais les escrocs peuvent en créer des milliers par jour. Il est donc probable qu’une part importante du total soit constituée de faux comptes
      Les vrais utilisateurs ne veulent pas de spam, donc Apple doit bloquer rapidement les comptes frauduleux. Mais il faut aussi protéger les comptes légitimes, d’où un équilibre délicat
      Si Apple assouplit les blocages de comptes, cela exigera en contrepartie une vérification d’identité plus poussée. Autrement dit, pour mieux sécuriser les comptes, il faudra inévitablement augmenter le niveau de surveillance
    • Je pense qu’iCloud est un service surestimé. Pendant longtemps, il n’y avait même pas de chiffrement des données stockées. J’utilise Time Machine et un gestionnaire de mots de passe, et je garde mes sauvegardes dans un coffre-fort
    • Le fait que la plupart de mes photos soient sur Google Photos m’inquiète. Je me dis que je devrais faire une double sauvegarde sur Amazon ou iCloud
    • Google est tout aussi inefficace. Il n’existe aucun moyen de bloquer complètement quelqu’un qui est dans ses contacts. Après ma séparation d’avec un ancien cofondateur, j’ai eu des ennuis en collaborant avec un ami qui avait le même nom, à cause de l’autocomplétion. Dans la vraie vie, ce type de fonction de rupture relationnelle est indispensable

  • Je pense que la frontière entre l’usage légitime et frauduleux des cartes cadeaux est extrêmement mince. J’ai déjà essayé le « manufactured spend » pour accumuler des points de carte bancaire, et ça ressemblait presque à du blanchiment d’argent
    Avec certaines cartes cadeaux, on pouvait cumuler des points deux fois puis les convertir immédiatement en cash. Cette faille a fini par être rapidement bouchée

    • J’ai moi aussi accumulé autrefois des miles aériens de cette façon pour partir en voyage en Europe. J’achetais des mandats avec des cartes Visa prépayées, puis je redéposais l’argent pour faire tourner les points en boucle. Je me souviens que les caissiers me regardaient bizarrement
    • En pratique, ce n’est pas très différent du blanchiment d’argent. La seule différence, c’est que les fonds ne sont pas illégaux. Tout dépend de l’intention pour distinguer le légal de l’illégal
    • En plus, même une carte cadeau d’apparence légitime peut déjà avoir été liée à une fraude quelque part dans la chaîne de distribution. Si la victime la signale, un utilisateur totalement innocent peut lui aussi en subir les conséquences

  • Heureusement que l’affaire s’est résolue, mais beaucoup de questions restent ouvertes

    1. pourquoi l’enregistrement d’une carte cadeau défectueuse entraîne-t-il la suspension de tout le compte ?
    2. pourquoi faut-il l’attention des médias pour obtenir de l’aide ?
    3. faut-il limiter la croissance des entreprises quand elles deviennent si grosses qu’un support client correct devient impossible ?
      Les banques traitent ce type de problème par étapes, alors que des plateformes comme Facebook peuvent suspendre définitivement un compte du jour au lendemain
    • Les banques n’ont pas légalement le droit de geler définitivement l’argent d’un client, et leurs procédures de vérification d’identité sont claires. En revanche, les comptes en ligne sont très peu encadrés juridiquement, et ne collectent souvent même pas les informations d’identité
    • Cela dit, les banques gèlent aussi parfois des comptes sans raison. On a juste eu de la chance jusqu’ici, mais cela peut arriver à n’importe qui
    • Il est très probable qu’Apple ait pris l’utilisateur pour un criminel. Mais il est incompréhensible qu’Apple ait soupçonné la victime plutôt que le vrai coupable. À mon avis, le problème n’est pas seulement la taille de l’entreprise, mais une culture de l’indifférence envers les clients
    • Peut-être qu’un mot comme « Butt » dans le nom a déclenché un algorithme de filtrage automatique. On n’a toujours pas de réponse de fond

  • Article lié : Apple has locked my Apple ID, and I have no recourse — 1730 points, 1045 commentaires

  • Le cœur du problème, c’est l’illusion de propriété. Les gens pensent qu’ils possèdent leurs comptes et leurs données, mais en réalité ce n’est pas le cas. Le mot « achat » lui-même induit en erreur. Juridiquement, il faudrait plutôt parler de « location » ou de « concession de droit d’usage limité »

    • Quand on crée un compte Apple, les conditions d’utilisation prévoient déjà qu’il peut être fermé à tout moment. Plutôt que cette idée de « propriété », il faudrait un dispositif comparable à une charte des droits du consommateur. Un utilisateur légitime devrait avoir le droit de faire appel en cas de fermeture de compte
    • Je pense au contraire que la loi devrait garantir un véritable « achat ». Aller dans le sens d’un affaiblissement des droits des citoyens n’est pas souhaitable

  • Je vais désormais dire à ma famille que les cartes cadeaux Apple sont risquées et qu’il ne faut pas les utiliser. Comme il est délicat de demander leur provenance, l’interdiction totale semble la solution la plus sûre

  • C’est clairement une carte cadeau non sûre. Cette affaire montre à quel point nous sommes attachés à l’écosystème numérique. Avant, je cliquais sans y penser sur « Login with Google/Apple », maintenant j’y réfléchirai à deux fois

    • Un employé d’Apple a conseillé de « toujours acheter les cartes cadeaux directement chez Apple ». C’est la solution la plus réaliste
      Au final, les cartes cadeaux vendues en magasin ne sont qu’un appât pour les escrocs. Je pense même qu’on pourrait engager une procédure en petites créances contre le distributeur qui a vendu ce produit
    • Je n’utilise jamais les boutons de connexion sociale pour des comptes importants. Je les réserve uniquement aux comptes jetables

  • Même du point de vue des distributeurs, c’est un problème difficile. Les cartes cadeaux sont le moyen n°1 des fraudes au paiement. Comme elles peuvent être utilisées comme du cash avec une carte volée, les systèmes de risque réagissent de manière extrêmement sensible
    Mais cela ne justifie pas d’ignorer les préjudices subis par les clients

    • Dans ce cas, il suffit simplement d’arrêter de vendre des cartes cadeaux
    • Certains magasins n’autorisent l’achat de cartes cadeaux qu’en espèces. Ce n’est pas une solution parfaite, mais c’est une forme d’amortisseur
    • Je n’adhère pas à cette logique. Comme le dit Patrick McKenzie, « le niveau optimal de fraude n’est pas zéro ». Vouloir bloquer toute fraude au prix d’un préjudice plus grand pour les clients est une erreur
      Les entreprises doivent accepter un certain niveau de fraude comme un coût d’exploitation. Article lié
    • Apple peut suivre à la fois la carte d’achat et l’utilisateur. Le problème, c’est que les algorithmes de faux positifs bloquent aussi des utilisateurs parfaitement légitimes

  • Le problème a été résolu parce qu’il s’agissait d’une personne connue, mais un utilisateur ordinaire n’a aucun moyen de faire avancer ce genre de dossier. Il faut comprendre l’origine technique du problème, écrire un billet, le faire circuler dans la presse, puis attendre l’intervention des RP pour obtenir une solution
    En fin de compte, Apple et Google ne sont pas des acteurs suffisamment fiables pour leur confier ses données

    • J’ai vécu quelque chose de similaire sur Steam. Mon compte a été suspendu à cause d’un problème de paiement, et j’ai failli perdre des jeux d’une valeur de plusieurs milliers de dollars. J’ai réussi à le récupérer en fournissant des documents bancaires, mais la réponse était du genre « on fait une exception pour cette fois »
    • C’est une blague, mais pour résoudre ce genre de problème, il faudra peut-être organiser soi-même une conférence développeurs Apple.
      Techniquement, on pourrait réduire la fraude si le système de cartes cadeaux ajoutait une fonction de détection des doubles activations
    • Quand on voit ce genre d’incident, on se dit qu’Apple ferait mieux d’abandonner l’activité des cartes cadeaux. La majorité des comptes frauduleux semble provenir de ce marché
    • Comme on publie une RCA (analyse des causes profondes) après une panne majeure, Apple devrait aussi publier une RCA officielle sur cette affaire
    • Après avoir vu cette affaire, quand je pense aux photos que j’ai confiées à iCloud, je me suis juré de ne jamais utiliser de carte cadeau Apple

  • J’ai récemment vécu quelque chose de similaire moi aussi. Le système de cartes cadeaux d’Apple paraît suspect. On dirait soit une façon de gonfler les ventes, soit un durcissement de la sécurité dû à une explosion des fraudes
    Voilà ce que j’en retiens

    1. gérer les cartes cadeaux destinées à l’achat de matériel avec un Apple ID séparé
    2. conserver tous les reçus — c’est la seule preuve
    3. l’assistance Apple est prête à traiter l’utilisateur comme un fraudeur
    • Récemment, de nouvelles arnaques aux cartes cadeaux ont aussi explosé chez Target et ailleurs. Si possible, mieux vaut les utiliser uniquement directement en magasin
    • En plus, sans influence de blogueur, Apple ne se soucie même pas du problème. Même avec des preuves, comme Buttfield-Addison, on se fait ignorer