En utilisant votre propre numéro de téléphone, un pirate peut bloquer WhatsApp à distance, et le rendre inutilisable. Voici comment il procède, et WhatsApp n'entend pas corriger cette faille qui concerne la double authentification avec envoi de SMS.


au sommaire


    Décidément Facebook a bien des problèmes de sécurité depuis quelque temps... C'est aujourd'hui WhatsApp, qu'il a racheté, qui se trouve menacé par des tentatives de piratage aussi complexes que dangereuses. Et quand on sait que cela concerne deux milliards de personnes, il est évidemment urgent de s'en prémunir. C'est une faille générale qui concerne les utilisateurs sur iPhone et AndroidAndroid.

    Ce sont deux chercheurs en sécurité, cités par Forbes, qui ont découvert cette vulnérabilité, et elle permet de déjouer l'identification à double authentification, pourtant considérée comme inviolable. Et qui dit « double », dit une attaque en deux étapes. Chaque étape cible un point faible de WhatsApp. Lorsqu'on installe WhatsAppWhatsApp pour la première fois ou lorsqu'on l'installe à nouveau, le réseau social propose d'activer la « vérification en deux étapes ». Aujourd'hui, la plupart des services en ligne procèdent comme ça pour sécuriser votre compte. C'est grâce à ce code, à saisir dans son smartphone, qu'il est possible d'utiliser l'applicationapplication, et seule la personne qui reçoit le SMS peut l'utiliser. Donc vous.

    Utile pour protéger son compte, la vérification en deux étapes peut aussi être utilisée par un hacker. © Futura
    Utile pour protéger son compte, la vérification en deux étapes peut aussi être utilisée par un hacker. © Futura

    Une attaque en deux étapes

    Mais imaginez que quelqu'un connaisse votre numéro, et essaie de se connecter à votre compte WhatsApp. Vous allez recevoir des alertes par SMS vous demandant de saisir le code de vérification. Comme ça ne vient pas de vous, vous ignorez ces messages. Mais à chaque tentative de connexion du pirate, des SMS sont envoyés, jusqu'à ce que WhatsApp bloque le système parce que le nombre de tentatives autorisées a été dépassé. C'est exactement comme lorsque vous perdez un mot de passe. Pour sécuriser votre compte, le nombre d'essais est limité.

    Résultat, l'envoi de SMS par WhatsApp est bloqué pendant 12 heures. Le pirate a réussi la première étape, et il sait que votre compte est bloqué pour l'envoi de SMS. Il passe alors à la seconde phase de l'attaque, et il a 12 heures pour vous piéger. Pour cela, il envoie un e-mail à [email protected] via le formulaire « Compte perdu / volé », et il demande à désactiver le numéro de téléphone lié à ce compte WhatsApp. Comme l'envoi de SMS est bloqué, la réponse s'effectue par email... et le compte va maintenant être bloqué temporairement.

    Un compte à rebours vous indique que l'envoi d'un nouveau code est bloqué. © Forbes
    Un compte à rebours vous indique que l'envoi d'un nouveau code est bloqué. © Forbes

    Au bout de 36 heures, le compte WhatsApp est désactivé !

    L'utilisateur reçoit alors une alerte avec le message suivant : « Votre numéro de téléphone n'est plus enregistré avec WhatsApp sur ce téléphone. Cela peut être dû au fait que vous l'avez enregistré sur un autre téléphone. Si vous ne l'avez pas fait, vérifiez votre numéro de téléphone pour vous reconnecter à votre compte. »

    Votre WhatsApp bloqué, vous saisissez votre numéro de téléphone pour vous envoyer un code. Vous entrez et confirmez votre numéro. Mais aucun SMS n'arrive puisque c'est bloqué pendant 12 heures, et un message vous explique qu'il faut attendre. Sauf que le pirate a réussi une première fois à bloquer votre compte, et il lui suffit d'attendre 12 heures pour répéter la même opération. Au bout de trois périodes de 12 heures, WhatsApp considère qu'il s'agit de tentatives frauduleuses, et il désactive complètement le compte pour des raisons de sécurité. Impossible alors de le réactiver...

    Contacté par le magazine Forbes, WhatsApp a reconnu le problème, et n'envisage pas de le corriger. Pourtant, comme AppleApple, le réseau social pourrait mettre en place un système d'appareil de confiance, qui permettrait d'éviter ce type de blocage. Au lieu de cela, WhatsApp propose aux utilisateurs de « fournir une adresse e-mail au moment de la vérification en deux étapes » pour aider l'équipe d'assistance. C'est bien maigre...