Profil de l’utilisateur : Youness_
Youness_ Auteur
Niveau de l’utilisateur : Niveau 1
5 points

Tentative d'escroquerie et usurpation d'identité

Bonjour à tous,


Ce post est une question en plus d'une mise en garde, merci à ceux qui liront ! Je me permet de la faire car je n'ai vu que des posts anciens ou anglais.


Laissez moi vous exposer la situation :

Si vous êtes utilisateur d'un compte GMAIL et que vous avez un "." dans votre adresse mail, pour des raisons de sécurité Google vous réserve votre adresse mail sans le point.

Illustration : Votre adresse mail est "prénom.nom@gmail.com", alors automatiquement Google vous a réservé "prénomnom@gmail.com".


Cela a plusieurs conséquences, aussi bonnes que mauvaises.

Les bonnes :

  • Si quelqu'un se trompe et ne met pas le "." dans votre email, vous recevrez tout de même le mail
  • Cela sera plus difficile d'usurper votre identité, quelqu'un ne pourra pas créer une adresse mail "prénomnom@gmail.com" pour se faire passer sans vous en toute discrétion


Le soucis est qu'avec ces deux bonnes nouvelles, nous en avons une (très) mauvaise, qui est la raison de ce post.


Lorsque vous créez un compte sur un site, on vous demande un mail. Vous mettrez alors prénom.nom@gmail.com. Le soucis, est que Google n'a pas pensé qu'à part sur ses sites, les autres prennent en compte les ".". Ce qui veut dire que quelqu'un peut créer par exemple un compte iCloud "prénomnom@gmail.com" pour se faire passer par vous. Apple ne lui dira pas que l'adresse mail est déjà prise, étant donné que dans la sienne il n'y a pas de ".".


C'est ce qu'il m'est arrivé aujourd'hui. J'ai commencé à recevoir des mails étranges d'Apple me prévenant d'une connexion à mon compte iCloud, tous ces mails ont pour destinataire "prénomnom@gmail.com".

Sachant que cette fonctionnalité était possible, je n'ai pas fait attention, ne me doutant pas que c'était l'œuvre d'un escroc.


J'ai donc d'abord reçu un mail qui me dit que mon adresse mail a été utilisée, puis un autre avec un code de vérification à rentrer pour confirmer mon identité, et c'est là que je me retrouve face à une question sans réponse.


Je vais tenter d'être le plus clair possible :

Quelqu'un a utilisé la même adresse GMAIL que moi (mais sans le ".") pour créer un compte iCloud. Apple m'envoie donc tous les mails à moi, étant donné que je suis le propriétaire de l'email. J'ai reçu un mail me disant que quelqu'un s'est créé un compte avec mon adresse mail (sans le "."), puis j'ai reçu un mail avec un code de vérification a entrer sur iCloud pour prouver que l'adresse mail m'appartient, puis j'ai reçu le même mail mais cette fois-ci avec un lien cliquable.


Précisions :

  • Je n'ai de toute évidence pas utilisé les codes de vérifications et je n'ai évidemment pas non plus cliqué sur les liens d'authentification
  • Ces mails ne sont pas des mails de phishing, j'ai vérifié minutieusement les adresses mails et elles correspondent bien à celles d'Apple


Si mon histoire s'arrêtait là, vous me diriez de ne pas m'inquiéter, de changer mes mots de passe et que la personne n'arrivera jamais à me pirater, mais c'est là que ça se corse.

J'ai reçu ces mails avant hier, et je n'ai jamais cliqué sur les liens de vérification, pourtant j'ai reçu un mail (enfin plutôt l'escroc a reçu un mail) qui lui souhaite la bienvenue sur iCloud. Cela veut dire que l'escroc a réussi a se créer un compte iCloud avec mon adresse mail (sans le ".") et sans que je ne lui donne le code de vérification.


Précisions :

  • J'ai la double authentification sur mon compte iCloud et sur mon compte GMAIL, je n'ai accepté aucune requête donc l'escroc ne PEUT PAS avoir eu accès à mes comptes pour rentrer seul le code d'authentification
  • J'ai vérifié les IPs de connexion à mon compte GMAIL, je suis le seul à m'être connecté


Je ne comprends pas comment il a pu se créer un compte en usurpant mon adresse mail, donc j'ai tenté de faire "mot de passe oublié" sur son compte, évidemment le numéro de téléphone inscrit n'est pas le mien (et n'est pas français, il est marqué "XXXX-XXXXCHIFFRECHIFFRE").


Je me suis alors dit que peut-être, comme sur certains sites on pouvait se créer un compte sans jamais vérifier son adresse mail mais tout de même l'associer, alors j'ai tenté de me créer un compte iCloud et je n'ai pas pu passer l'étape de la vérification d'identité via le code envoyé par email.


Ce post a donc deux vocations, d'abord de vous informer de créer un compte "prénomnom@gmail.com" pour le privatiser, mais aussi vous demander si quelqu'un sait comment, sans avoir eu le code de vérification, il a pu créer son compte iCloud et le lier à mon adresse mail (sans le ".").


Précisions :

  • J'ai un nom bien trop rare pour que ce ne soit qu'une erreur
  • J'ai contacté le support Apple qui a constaté tout ce que je vous ai dit, mais ils m'ont expliqué qu'à part ignorer ses mails, je n'avais pas de solution

iPhone XS, iOS 17

Publiée le 17 oct. 2023 à 08h26

Répondre

Questions similaires

8 réponses
Profil de l’utilisateur : Titicool
Titicool
Community+ 2025
Niveau de l’utilisateur : Niveau 8
38 066 points

Le 19 oct. 2023 à 04h19 en réponse à Youness_

Re, vous ne l'avez pas précisé mais je pense que vous avez créé le compte "test" via internet ..


Si la personne a créé le compte directement sur un iPhone (un appareil Apple) le compte s'enregistre sur l'appareil et il est prêt à fonctionner et cela même si l'adresse mail n'a pas été validé car un numéro de téléphone a été renseigné et le numéro de téléphone peut recevoir le code de validation par SMS.

Le compte Apple est donc créé et validé avec le code reçu par sms via le numéro de téléphone, seul "hic" l'adresse mail n'est pas validé, la personne peut donc modifier à tout moment modifier l'adresse mail car comme je l'ai déjà écris Apple "autorise" de se tromper en renseignant l'adresse mail.


Vous ecrivez:

"Donc, si l'on suit votre raisonnement, tout s'arrête là : pas de code de validation pour lui, donc pas de compte créé. J'ajoute que si je comprends bien, pour vous son compte est en attente de validation, donc l'adresse mail est temporairement """attachée""" à son compte le temps qu'il envoie son code de validation, c'est ça ?


>Oui voila c'est bien cela > le compte Apple est créé mais l'adresse mail pas validée.


Comprenez aussi que mes post ont une part de supposions (la personne a crée le compte sur un appareil Apple) et nous n'aurons finalement aucune certitude étant donné que tout le problème est la conséquence de Google qui ne prends pas en compte le "."





Répondre
Profil de l’utilisateur : Titicool
Titicool
Community+ 2025
Niveau de l’utilisateur : Niveau 8
38 066 points

Le 18 oct. 2023 à 04h15 en réponse à Youness_

Re, je reprends, la personne a effectivement pu créer un compte Apple en Gmail mais il restera inactif tend que l'adresse mail ne sera pas validé avec le code reçu par mail (mail que vous recevez).

Vous avez indiqué avoir reçu plusieurs mails avec un code de validation, cette personne a visiblement fait plusieurs tentatives.

Quand au mail reçu souhaitant la bienvenu c'est un mail automatique tout simplement. Rien n'indique que la création du compte a été validé.


Chez Apple lorsque l'adresse mail du compte Apple est celle d'un fournisseur tierce (Google Gmail au autre) on ne peut pas la modifier en renseignant l'adresse mail d'un autre compte Apple existant. Une adresse mail peut être utilisé qu'une seul fois pour créer un compte Apple.


Vous écrivez "je ne comprends pas comment la personne a pu faire alors qu'elle n'a pas pu accéder à mon mail"

Si vous ne vous êtes pas fait piraté votre adresse mail Google il n'y a pas de raison de penser que la personne ai pu accéder à votre boite mail Gmail et donc le compte Apple créé n'a pas été validé.

Certaines personnes pensent par erreur que l'on peut créer un compte Apple en renseignant une adresse mail d'un fournisseur qui n'existe pas et Apple ne peut pas savoir a l'avance que l'adresse renseignée n'existe pas. La création du compte Apple est prise en compte par Apple mais n'ira pas plus loin, la personne a même la possibilité de rechanger l'adresse renseigné par une autre car l'erreur est permise si l'on renseigne une mauvaise adresse (et en me répétant cette autre adresse mail ne doit pas correspondre à un compte Apple existant).

Personnellement mon compte Apple est en @icloud.com et je réserve cette adresse mail exclusivement pour les services Apple. Je ne l'utilise jamais pour faire autre choses et je fais pareil pour les autres, mon compte Microsoft exclusivement pour mon ordinateur Windows et ainsi de suite...


Répondre
Profil de l’utilisateur : Titicool
Titicool
Community+ 2025
Niveau de l’utilisateur : Niveau 8
38 066 points

Le 17 oct. 2023 à 12h12 en réponse à Youness_

Bonjour, c'est vraiment étonnant cette histoire, mais je comprend aussi que finalement le problème est chez Google et pas chez Apple,

Apple envoie les mails à la personne qui a créé le compte Apple dont l'adresse n'a pas de ".", et c'est vous qui les recevez parce que Google ne prends pas en compte le "."

On peut donc aussi en conclure que la personne que vous nommez "escroc" n'a pas pu valider la création du compte Apple puisqu'il n'a pas accès à votre messagerie Google, un compte Apple créé sera automatiquement "non actif" s'il n'est pas validé après un certain temps avec le code reçu par mail.

Apple ne peut effectivement rien faire puisque pour eux l'adresse sans "." n'est pas le vôtre..


Pour être tranquille avec votre compte Apple je vous conseillerais de modifier l'adresse mail principale de votre compte Apple et pourquoi pas modifier l'adresse mail Gmail par une fourni par Apple en @iCloud.com puis supprimer celle en Gmail du compte et ainsi dans le future vous saurez que tous les mails Apple qui arriveront sur Gmail ne vous sont pas destinés.


Pour info, pour créer une adresse mail @icloud.com pour votre compte Apple il faut le faire à partir des réglages de votre appareil Apple > en activant Mail dans le réglage iCloud >sauf si vous en possédez déjà une dans votre comme votre compte Apple.

  • Si vous créez l'adresse en @icloud.com il faudra attendre 30 jours avant de l'utiliser pour modifier l'adresse mail Gmail de votre compte Apple.
  • Si vous possédez déjà une adresse mail en @icloud.com depuis plus de 30 jours vous pouvez modifier de suite votre compte Apple.



Répondre
Profil de l’utilisateur : Youness_
Youness_ Auteur
Niveau de l’utilisateur : Niveau 1
5 points

Le 17 oct. 2023 à 14h11 en réponse à Titicool

Bonsoir,


Tout d'abord merci pour votre réponse.


Je pense aussi qu'il n'a jamais pu créer de compte iCloud "prénomnomdefamille@gmail.com", ou en tout cas c'est ce que je croyais. En effet, plusieurs choses laissent penser qu'il a réussi.


  • Lorsque je fais "mot de passe oublié" sur iCloud en rentrant "prénomnomdefamille@gmail.com", on me demande d'envoyer le code de validation SMS qui a été envoyé à un numéro que je ne connais pas. Donc, si c'est possible de réinitialiser le mot de passe d'un compte avec une adresse mail, c'est que le compte existe
  • Les mails que j'ai reçu prouvent que le compte a bien été créé, vous trouverez dans le message les différents mails. Ces mails sont de vrais mails envoyés par Apple, j'ai vérifié plusieurs fois et en compagnie du support d'Apple, ce ne sont pas des mails de phishing à proprement parler étant donné qu'ils sont réellement envoyés par Apple. (je vous rassure, ils ont été anonymisés)
  • Le nouveau mail que j'ai reçu ce matin de la part d'iCloud qui me souhaite la bienvenue


Le mystère reste donc entier, comment, une personne a pu, sans avoir accès à mon compte GMAIL, se créer un compte avec mon adresse mail (sans le ".") alors qu'elle n'a pas pu valider l'opération car elle n'a pas reçu les codes de validations (je vous ai mit un seul mail mais 3 codes ont étés envoyés) et les liens de validations (pareil, un seul mail mais 3 mails avec 3 liens envoyés à la chaîne).


En écrivant ce message je me suis interrogé, comme vous le dites (et je l'ai vérifié moi-même), on ne peut pas créer de compte iCloud sans passer par l'étape de validation de mail. Mais est-ce qu'on peut changer de mail iCloud sans vérifier de mail ? Est-ce qu'il est possible que la personne ait créé un compte avec son mail, une fois qu'elle l'a créé elle change son mail par le mien, et comme elle a déjà un numéro authentifié Apple lui permet de changer de mail sans vérification ?


C'est honnêtement la seule explication que j'ai, sinon je ne comprends pas comment la personne a pu faire alors qu'elle n'a pas pu accéder à mon mail et que je n'ai pas validé mon adresse mail à sa place par mégarde.

Répondre
Profil de l’utilisateur : Youness_
Youness_ Auteur
Niveau de l’utilisateur : Niveau 1
5 points

Le 18 oct. 2023 à 13h35 en réponse à Titicool

Bonsoir, encore une fois merci pour votre réponse qui est encore une fois concise et clair.


Mais je suis désolé, je vais encore vous embêter parce que j'ai l'impression que nous n'arrivons pas totalement à se comprendre.


Pour reprendre votre réponse parce que votre manière de répondre est très claire :

Vous écrivez :

"Oui, le compte Apple est créé avec prenomnom@gmail.com mais l'adresse mail n'a pas pu être validé."

Je suis d'accord avec vous sur le papier, pas de code de validation, pas de compte Apple créé. Cependant, j'ai vraiment l'intime conviction que le compte a pu être créé.


Pourquoi est-ce que je m'entête à vous contredire et à affirmer mordicus que le compte a bien pu être créé ? Je vais essayé d'être le plus concis possible.


Suivons grossièrement le protocole universitaire pour prouver quelque chose. Je vais donc prendre un "compte témoin" pour comprendre comment la création d'un compte fonctionne et vérifier si mes dires sont vrais.


Comme je vous l'ai dit, j'ai tenté de créer un compte Apple avec une autre de mes adresses mails. J'ai donc renseigné mon nom, prénom, date de naissance, numéro de téléphone et, évidemment, l'un de mes mails.


J'ai, sans surprise, reçu le même mail que lorsque la personne a fait la même chose que moi, c'est-à-dire un mail avec un code de validation.

Donc, si l'on suit votre raisonnement, tout s'arrête là : pas de code de validation pour lui, donc pas de compte créé. J'ajoute que si je comprends bien, pour vous son compte est en attente de validation, donc l'adresse mail est temporairement """attachée""" à son compte le temps qu'il envoie son code de validation, c'est ça ?


Continuons avec mon compte témoin, lorsque je fais "mot de passe oublié" voici ce qu'Apple me dit (Screen 1).

Lorsque je fais "mot de passe oublié" avec mon adresse mail sans ".", voici la page qu'Apple m'ouvre (Screen 2).


Pourtant, avec le compte témoin je n'ai pas renseigné le code de vérification que j'ai reçu. Et si elle n'a pas pu accéder à mon mail, la personne n'a, elle non plus, pas pu renseigné le code de vérification que j'ai aussi reçu.


Alors, pourquoi avec le compte témoin la démonstration s'arrête ici : "Cet identifiant Apple n'a pas valide ou n'est pas prit en charge". Alors qu'avec le compte adresse mail sans "." Apple me demande de saisir le numéro de téléphone qui a été renseigné lors de l'inscription.


Lors de mon inscription avec mon compte témoin, j'ai renseigné un numéro de téléphone ainsi qu'une adresse mail. Si la personne qui m'usurpe n'a pas réussi à finaliser la création de son compte parce qu'elle n'a pas le code de validation, Apple devrait me mettre le même message : "Cet identifiant Apple n'a pas valide ou n'est pas prit en charge".


Ce que je pense, c'est que si Apple me demande un numéro de téléphone, c'est que le compte a bien été créé, sinon avec mon compte témoin on me demanderait aussi mon numéro de téléphone et la démonstration ne s'arrêterait pas à la première étape.


Voyez vous ce que je veux dire ?

Je vous assure, je comprends votre raisonnement et avant d'entrer dans cette spirale je pensais comme vous : pas de code de vérification, pas de création de mail, c'est le B.A-BA de la cybersécurité. Pourtant, même sans code de validation l'usurpateur a visiblement réussi à créer son compte avec mon adresse mail sans ".".


J'ajoute que si comme vous le dites (et comme je le pensais) "pas de code de validation, pas de création de compte" je m'en foutrais. Je m'en foutrais parce que son opération aurait échouée et voilà il aurait fini par passer à autre chose.

Mais tout d'abord, ne pas savoir comment il a réussi à créer son compte sans code de vérification m'obsède, mais surtout, ça me fait peur niveau cybersécurité. Parce que ça voudrait dire que d'une manière ou d'une autre il a eu accès à un code de vérification.


Le mystère reste donc entier.


Répondre
Profil de l’utilisateur : Titicool
Titicool
Community+ 2025
Niveau de l’utilisateur : Niveau 8
38 066 points

Le 18 oct. 2023 à 11h54 en réponse à Youness_

Re, bon déjà je vais corriger cela, vous écrivez à plusieurs reprise "compte iCloud" pour être précis il faut "dire" compte Apple:

  • iCloud est un service Apple.
  • l'identifiant d'un compte Apple est une adresse mail.


L'adresse mail de votre compte Apple est prenom.nom@gmail.com.


L'adresse mail utilisé par l'autre personne est prenomnom@gmail.com


Apple prend en compte le "." dans l'adresse mail ce qui fait que pour Apple il s'agit de deux personnes différentes et donc de deux comptes Apple différents.


Le soucie est chez Google qui ne prend pas en compte le "." ce qui fait que les deux adresses vous sont associées


Vous écrivez:

"En réalité, il a pu renseigner mon adresse mail, car elle existe déjà mais ne m’est pas associée, je ne sais pas si vous avez saisi cette informations. "

> Oui, l'adresse mail prenonnom@gmail.com n'existait pas pour un compte Apple chez Apple et a donc pu être utilisé pour créer un compte Apple mais chez Google elle est associée à la vôtre (prenom.nom@gmail.com).


Vous écrivez:

"Mais au final peu importe, parce que malgré ce que vous avancez, je continue de penser qu’il a pu créer son compte. "

> Oui il a pu créer un compte Apple mais n'a pas pu valider l'adresse mail.


Vous écrivez:

"Pour rappel, je peux me connecter d’iCloud, tenter de me connecter à prenomnom@gmail.com et faire « mot de passe oublié », et lorsque je renseigne mon adresse mail sans « . », on me demande de mettre le code de vérification que j’ai reçu par téléphone en me donnant un numéro qui ne correspond pas au mien (format XXXX-XXXXXX, avec les deux derniers chiffres affichés et qui ne sont pas les miens) "

> Oui le compte Apple prenonnom@gmail.com existe chez Apple (ce n'est pas le votre) et cela explique que le numéro de téléphone n'est pas le vôtre.


Vous écrivez :

"Pourtant, et j’insiste, je n’ai pas validé la création de son compte et il n’a pas pu le faire lui même, mon adresse mail étant parfaitement sécurisée. "

> Oui, le compte Apple est créé avec prenomnom@gmail.com mais l'adresse mail n'a pas pu être validé.


Vous écrivez:

"Alors, comment a t-il fait alors que je vois partout (et j’ai moi-même essayé) qu’on ne peut pas créer de compte iCloud sans renseigner d’adresse mail ? "

> Oui on ne peut pas créer de compte Apple sans renseigner une adresse mail, il est impératif de renseigner une adresse mail qui n'a jamais été utilisé pour ou dans un compte Apple et c'est le cas pour l'adresse prenon.nom@gmail.com qui est votre compte Apple (ne peut pas être réutilisé pour créer un nouveau compte Apple) .


J'espère avoir répondu au mieux et le plus clairement possible.


Répondre
Profil de l’utilisateur : Kestral
Kestral
Niveau de l’utilisateur : Niveau 8
49 340 points

Le 18 oct. 2023 à 00h34 en réponse à Youness_

Bonjour Youness_,


Ma remarque ne va absolument pas faire avancer le problème mais je ne peux m'empêcher : n'oubliez pas que gmail.com c'est Google, que les services Google sont gratuits et quand c'est gratuit, c'est vous le produit. Pensez peut-être à stopper l'utilisation des services Google pour des éléments critiques, comme votre email principal. Dans l'ère ultra connectée dans laquelle nous vivons, où tout est lié à notre identité numérique, baser cette identité sur un service gratuit dont les CG font froid dans le dos, je ne sais pas, mais je ne suis pas du tout convaincu...

Répondre
Profil de l’utilisateur : Youness_
Youness_ Auteur
Niveau de l’utilisateur : Niveau 1
5 points

Le 18 oct. 2023 à 04h22 en réponse à Titicool

Encore une fois merci pour votre réponse mais je vais apporter encore des précisions pour être sur qu’on se soient compris.


En réalité, il a pu renseigner mon adresse mail, car elle existe déjà mais ne m’est pas associée, je ne sais pas si vous avez saisi cette informations.


Mais au final peu importe, parce que malgré ce que vous avancez, je continue de penser qu’il a pu créer son compte.

Pour rappel, je peux me connecter d’iCloud, tenter de me connecter à prenomnom@gmail.com et faire « mot de passe oublié », et lorsque je renseigne mon adresse mail sans « . », on me demande de mettre le code de vérification que j’ai reçu par téléphone en me donnant un numéro qui ne correspond pas au mien (format XXXX-XXXXXX, avec les deux derniers chiffres affichés et qui ne sont pas les miens)


Pour être sur, j’ai tenté de faire mot de passe oublié en renseignant mon bon mail, et là le format correspond au français et les deux derniers chiffres sont bien les miens.


Si, lorsque je fais « mot de passe oublié » en renseignant l’adresse mail sans « . » on me dit de rentrer le code de vérification que j’ai reçu à un numéro qui n’est pas le mien, c’est que la personne a pu créer un compte iCloud avec mon mail.


Pourtant, et j’insiste, je n’ai pas validé la création de son compte et il n’a pas pu le faire lui même, mon adresse mail étant parfaitement sécurisée.


Alors, comment a t-il fait alors que je vois partout (et j’ai moi-même essayé) qu’on ne peut pas créer de compte iCloud sans renseigner d’adresse mail ?

Répondre

Cette discussion a été fermée par le système ou l’équipe de la communauté. Vous pouvez voter pour les publications que vous jugez utiles ou effectuer des recherches dans la communauté pour trouver des réponses supplémentaires.

Tentative d'escroquerie et usurpation d'identité

Bienvenue dans la Communauté d’assistance Apple
Un forum où les clients Apple s’entraident avec leurs produits. Faites vos premiers pas avec votre compte Apple.
En savoir plus Inscrivez-vous