Une faille permet de bloquer un compte WhatsApp grâce au numéro de téléphone associé

15 avril 2021 à 11h10
11
WhatsApp données personnelles © rafapress / Shutterstock.com
© rafapress / Shutterstock.com

WhatsApp est actuellement victime d’un problème de sécurité. Deux chercheurs ont découvert que l’application de messagerie instantanée permettait à toute personne malintentionnée de priver un utilisateur de son compte. Il suffit pour le pirate de connaitre le numéro de téléphone de sa victime.

Il n’existe actuellement aucune réelle solution pour pallier ce problème.

Une attaque en deux étapes

L’attaque peut être réalisée par tout un chacun. Il suffit en effet surtout de s'armer d’un peu de patience, d’une dose de malveillance et d’une bonne connexion Wi-Fi.  

Dans les grandes lignes, la personne cherchant à bloquer le compte de sa victime va d’abord installer WhatsApp sur un smartphone et renseigner le numéro de téléphone de la personne ciblée. Celle-ci recevra une série de SMS sur son smartphone, comportant des chiffres utilisés pour vérifier le compte. Elle ne pourra rien en faire, n’ayant nul endroit où les renseigner. Pendant ce temps, le pirate va entrer des chiffres incorrects dans l’application.

Devant les envois répétés et infructueux, WhatsApp va, au bout d’un moment, bloquer le système, verrouillant le compte pirate et celui de la victime, reliés au même numéro, pendant 12 heures.

Vient la deuxième étape du piège. Pendant cette période, le pirate peut envoyer un faux mail au nom de la victime à l’adresse support@whatsapp.com, demandant la désactivation du compte associé au numéro ciblé, pour cause de téléphone perdu ou volé.

L’attaque répétée pendant deux autres cycles de 12 heures déclenchera un message sur le téléphone de la la personne flouée : « vous avez essayé de deviner (le code) trop de fois, réessayez après -1 seconde ».

Whattsapp Androïd © Whattsapp Androïd
Message reçu par la victime d'un blocage de compte WhatsApp. © WhattsApp Androïd via Forbes

Cela engendrera le blocage du compte et la nécessité de contacter le support WhatsApp pour résoudre le problème.

Pas de vraie solution pour l’instant

Si rien n’indique que cette technique récemment découverte soit effectivement utilisée par des pirates, mieux vaut se prémunir. Pour l’heure, WhatsApp a reconnu le problème sans toutefois proposer de réelle solution. En cas de la réception par la victime d’un grand nombre de codes de vérification, Forbes conseille de contacter immédiatement le support d’assistance de WhatsApp, lequel pourra enquêter.

Le journal reprend aussi un tweet de Signal , qui demande ironiquement de suivre l’exemple de Mark Zuckerberg, et d’utiliser l'application.

Forbes déplore aussi que l'authentification à deux facteurs ne permette pas de vérifier le numéro du portable censé avoir été perdu ou volé. Une des pistes suggérée serait que WhatsApp utilise le concept d'appareil de confiance, qui permet à une application vérifiée d'en vérifier une autre, pour éviter ce type de déconvenue…

Après le tollé suscité par la mise à jour des conditions d’utilisation de WhatsApp , beaucoup d’internautes se tournent vers des solutions alternatives. Mais les plus connues d’entre elles ne changent pas forcément le problème. Et si c’était l’occasion d’essayer des messageries instantanées d’un nouveau genre, plus anonymes et surtout résolument décentralisées ?
Lire la suite

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
11
11
Vankovic
Ce que j’en pense ?<br /> Que vous venez de donner une marche à suivre complète aux personnes mal intentionnées… Dans le contexte du harcèlement scolaire, c’est cadeau !
Blap
De la meme maniere on peut supprimer certains comptes Tinder depuis des années
LeToi
Ça va juste le bloquer, pas le pirater pour le récupérer, mais c’est sûr que c’est galère pour la personne concernée…
gamez
déjà je trouve complètement con de bloquer un compte 12h juste parce qu’on n’a pas noté les bons codes de vérification.<br /> Si vous me dites c’est pour éviter le piratage je vous repondrai que pour tenter des codes au hasard (à 6 chiffres), veuillez croire qu’à raison d’une tentative chaque minute (ce temps d’attente EST le système de sécurité après 3 tentatives normales ratées) cela suffit amplement pour décourager n’importe quel pirate en herbe.
Kriz4liD
Surtout quand tu cibles certaines personnes. j’en connais un paquet incapable d’envoyer un mail.
c_planet
peut-être qu’il suffit de désactiver sa connexion (opérateur) sms pour endiguer la procédure de la faille. ce qui laisse le temps de contacter whatsapp en gardant son compte actif.<br /> Mais c’est quand même incroyable qu’une entreprise bloque un compte vérifié via des tentatives par un compte non vérifié, c’est un niveau de maitrise sécuritaire proche de l’amateurisme 0_°<br /> ça veut dire aussi, qu’on peut s’inscrire sur whatsapp avec un n° poubelle et garder son n° principal caché de whatsapp.<br /> Kovic : Ce que j’en pense ?<br /> Que vous venez de donner une marche à suivre complète aux personnes mal intentionnées… Dans le contexte du harcèlement scolaire, c’est cadeau !<br /> C’est plutôt cadeau pour la famille du gamin harcelé, en cas de plainte en justice on obtiendra les identifiants de l’attaque; Ceci dit un compte d’ado whatapp bloqué c’est peanuts comme désagrément, ça sera peut-être même le déclencheur d’une remontée des notes de cours, lol.
kyrios
Sauf que le pirate si il est un peu futé, il va utiliser un script que fera ca automatiquement et il n’aura qu’à laisser le smartphone branché. Au lieu de tester les codes séquentiellement, il peut tester les codes les plus probables en premier soit en utilisant des listes statistiques, soit sur base de ce qu’il sait de sa victime.<br /> Et si il arrive à lancer l’attque depuis plusieurs appareils en parallèle, soit parce que le système est mal fichu (ce qui est souvent le cas), soit parce qu’il a trouvé un moyen d’exploiter une faille, c’est game over pour la victime.
jcc137
Donc si je comprends bien, le pirate, ou plutôt le malveillant car ledit pirate n’a rien à gagner au bout du compte, va dépenser une énergie folle juste pour le plaisir de bloquer le Whatsapp d’une personne qui elle, de toute façon, pourra toujours communiquer avec ses contacts par SMS.<br /> Vraiment tordu comme esprit !
glittermen
Complémentent d’accord, de plus il suffit de faire un appel sur le numéro de la victime pour authentifier comme d’autres applications .
gamez
désolé mais je ne suis en rien d’accord avec ta réponse. je m’explique point par point:<br /> kyrios:<br /> Sauf que le pirate si il est un peu futé,<br /> alors… déjà ici j’avais bien parlé de «&nbsp;pirate en herbe&nbsp;» mais bref, passons<br /> kyrios:<br /> il va utiliser un script que fera ca automatiquement et il n’aura qu’à laisser le smartphone branché.<br /> euh… tu sais combien de temps il faut pour tester tous les nombres à 6 chiffres à raison d’un nombre par minute?<br /> je te laisse faire le calcul c’est pas bien compliqué lol ca fait presque 2 ans sans jamais s’arréter xD<br /> voilà quoi…<br /> kyrios:<br /> Au lieu de tester les codes séquentiellement, il peut tester les codes les plus probables en premier soit en utilisant des listes statistiques, soit sur base de ce qu’il sait de sa victime.<br /> tu as bien compris que l’article parle du code de vérification qui est envoyé et qu’il faut taper?<br /> j’ai l’impression que tu parles du mot de passe de la victime (qui n’est clairement pas le sujet de l’article)<br /> kyrios:<br /> Et si il arrive à lancer l’attque depuis plusieurs appareils en parallèle, soit parce que le système est mal fichu (ce qui est souvent le cas), soit parce qu’il a trouvé un moyen d’exploiter une faille, c’est game over pour la victime.<br /> meme cet argument est à côté.<br /> j’ai bien précisé que le systeme n’envoie qu’un code par minute pour un compte donné. tu peux me dire en quoi les autres appareils peuvent t’aider dans ce cas? 5 appareils qui demandent un code de verification au cours de la meme minute ne fera pas réagir le systeme, qui attend que la minute s’écoule avant d’envoyer un autre code.<br /> xD<br /> bref le systeme que je décris n’est pas si facile que ça à craquer. donc on est loin du game over que tu cites lol
Squeak
Cette méthode n’est pas limitée qu’à Whatsapp mais à toute application qui n’utilise que le numéro de téléphone pour se connecter à son compte.<br /> J’ai aussi pensé à «&nbsp;super, on donne tous les détails de la méthode, c’est pratiquement inciter&nbsp;». Ce n’est pas vraiment une faille, c’est juste une mauvaise conception! Et c’est à la portée de n’importe qui, de l’ado rageux à un(e) ex qui fait une crise de jalousie en passant par un employé viré qui se vengera sur son boss. Les solutions simples ne manquent pas pourtant. Si on décide d’utiliser un code pin, il est aussi demandé une adresse mail =&gt; contact du support uniquement à partir de cette adresse (ex: «&nbsp;Afin de nous assurer que vous êtes bien le propriétaire du compte, un e-mail a été envoyé à l’adresse que vous avez préalablement défini&nbsp;»). Après bien sûr si on se fait hacker son mail, c’est une autre histoire.<br /> J’imagine que ce n’est pas si compliqué à mettre en place…
Voir tous les messages sur le forum
Haut de page