Les cartes cadeaux Apple sont-elles sûres ?

• Un utilisateur a vu son compte Apple verrouillé et tout accès à ses contenus perdu après avoir utilisé une carte cadeau Apple de 500 dollars falsifiée
• La carte semblait authentique et achetée dans une grande enseigne physique, mais juste après l’échange, le compte a été désactivé et tout l’historique d’achats iCloud et App Store a disparu
• Adam Engst de TidBITS estime qu’en raison de ce risque, « les cartes cadeaux Apple doivent pratiquement être traitées comme un malware numérique », et appelle à éviter de les acheter ou de les utiliser
• L’équipe Executive Relations d’Apple a enquêté sur l’incident, mais la cause de la désactivation et la procédure de restauration sont restées floues ; le compte a finalement été rétabli une semaine plus tard
• Ce cas met en lumière des inquiétudes concernant la fiabilité des cartes cadeaux Apple et l’opacité du système de sécurité des comptes

L’affaire du verrouillage du compte Apple de Paris Butterfield-Addison

• Butterfield-Addison a acheté puis utilisé une carte cadeau Apple de 500 dollars dans une grande enseigne, et juste après, son compte Apple a été verrouillé, avec blocage de tous ses achats multimédias et de l’accès à iCloud
  • Il a raconté l’incident sur son blog, puis plusieurs médias comme Daring Fireball, Michael Tsai, Nick Heer, AppleInsider et The Register l’ont relayé
  • L’équipe Executive Relations d’Apple a enquêté sur l’affaire, mais au départ, ni la restauration du compte ni l’explication de la cause n’ont été fournies
• Gruber a évoqué la possibilité que le montant relativement élevé de 500 dollars ait contribué au problème, mais Apple n’ayant donné aucune explication officielle, cela reste invérifiable
  • Apple limite aux États-Unis le montant maximal des cartes cadeaux à 2 000 dollars, donc 500 dollars n’a en soi rien d’anormal

Polémique sur la sécurité des cartes cadeaux Apple

• Adam Engst de TidBITS affirme que « l’utilisation d’une carte cadeau falsifiée peut entraîner le verrouillage d’un compte » et qu’il faut donc éviter d’acheter des cartes cadeaux Apple et mieux faire connaître ce risque
  • Il compare cela à une « roulette russe numérique » et avertit que c’est risqué même pour offrir
• Après cet incident, Gruber a indiqué qu’il n’utiliserait plus les cartes cadeaux qu’en direct dans un Apple Store, et pas pour des achats liés à son compte Apple
  • Il souligne que les méthodes de fraude deviennent de plus en plus sophistiquées et que même une source de carte apparemment fiable ne garantit pas une sécurité totale

Opacité de la désactivation et de la restauration du compte

• Gruber souligne qu’il n’est pas clair si la décision de désactiver le compte Apple relève d’un humain ou d’un algorithme automatisé de détection de fraude
  • Il résume la situation ainsi : « on pourrait penser qu’Apple peut rétablir un compte d’un simple interrupteur, mais en pratique cela semble impossible »
• Il évoque aussi que, si la restauration du compte s’avérait impossible, Apple pourrait choisir de rembourser tous les achats de l’utilisateur puis de lui faire créer un nouveau compte
  • Une telle procédure implique le risque d’une perte permanente des données utilisateur et de l’historique d’achats

Développements après l’incident

• Peu après la publication du billet, Butterfield-Addison a ajouté une mise à jour indiquant que son compte avait été restauré par une responsable de l’équipe Executive Relations d’Apple
  • Le compte a bien été rétabli, mais les raisons du verrouillage et le fait que la résolution ait pris une semaine restent inexpliqués
• Même après la résolution de l’affaire, Gruber estime qu’une question de fond demeure : « dans quelle mesure est-il sûr d’utiliser une carte cadeau Apple ? »

Questions en suspens et implications

• Ce cas met en évidence les faiblesses du système de cartes cadeaux Apple et l’opacité des procédures de gestion des comptes
• Il montre qu’un verrouillage de compte peut survenir même via un circuit d’achat normal, ce qui affecte la confiance des utilisateurs
• La question de savoir si les dispositifs internes de sécurité et de support client d’Apple reposent excessivement sur l’automatisation s’impose comme l’un des principaux enjeux