WhatsApp rencontre une faille qui permet de supprimer l’accès au service de messagerie d’un utilisateur en usurpant son numéro de téléphone.
L’authentification via l’envoi de codes par SMS connaît une faille de sécurité. © Denys Prykhodov – stock.adobe.com
WhatsApp semble encore une fois dans la tourmente. Deux chercheurs en sécurité, Luis Márquez Carpintero et Ernesto Canales Pereña, ont découvert une faille dans le système d’authentification du service de messagerie. Celle-ci permet à n’importe qui de pouvoir désactiver le compte d’un utilisateur grâce au détournement du système d’identification à deux facteurs.
Une faille dans le système d’authentification de WhatsApp
Le processus de hacking d’un compte WhatsApp est long et fastidieux, mais accessible à toute personne mal intentionnée, ce qui rend cette faille de sécurité d’autant plus problématique.
Pour exploiter cette brèche, le pirate doit installer l’application WhatsApp sur son smartphone et inscrire le numéro de téléphone du compte qu’il souhaite bloquer. Le service de messagerie va alors envoyer des codes d’authentification via SMS sur ce même numéro (la victime va donc recevoir une série de codes par message). Après un trop grand nombre de tentatives de vérification avec des faux codes inscrits par le hackeur, le procédé d’envoi sera bloqué pendant 12 heures.
À partir d’ici, intervient la deuxième étape du piège. L’attaquant va alors créer une fausse adresse mail, au nom de la personne visée, pour contacter le support de WhatsApp en demandant une suspension du compte pour motif de vol ou perte du smartphone. À cette étape, le nombre excessif de tentatives d’identification par l’envoi de codes fera foi dans son discours. Étrangement, le service support de l’application ne vérifiera pas quelle adresse mail est associée au numéro de téléphone et va donc désactiver le compte WhatsApp en question.
Ensuite, si le hackeur reproduit ces actions pendant deux autres cycles de 12 heures, la victime verra apparaître un message lorsqu’elle souhaitera se connecter avec son numéro de téléphone : « vous avez essayé de deviner (le code) trop de fois, réessayez après -1 seconde ». Cette indication signifie que le compte est définitivement bloqué et qu’il vous faudra contacter le support WhatsApp pour tenter d’en récupérer l’accès.
Une faille qui pourrait engendrer un séisme chez WhatsApp ?
Au premier abord, cette faille de sécurité inquiète. En effet, celle-ci est accessible à toute personne qui souhaiterait en piéger une autre, sans aucune compétences techniques requises. Néanmoins, l’exploitation de la faille reste compliquée, avec au total 36 heures de procédures pour faire suspendre un compte. De plus, aucune donnée personnelle ou récolte d’argent n’est possible avec cette méthode de hacking. On peut alors se demander quel grand intérêt pourrait avoir un hackeur à mettre en œuvre autant de moyens pour des résultats minimes.
Du côté de WhatsApp, l’entreprise a indiqué que cette pratique était contraire aux règles d’utilisation du service. Toutefois, le service de messagerie ne semble pas placer en priorité la réparation de cette faille, malgré les enjeux concernant la sécurité des utilisateurs et de leurs données personnelles, qui sont actuellement au cœur des débats.
Un conseil : si vous recevez des codes d’authentification par SMS et que vous n’êtes pas l’auteur de cette demande, c’est peut-être une tentative de piratage. Il vous faudra alors contacter le plus rapidement possible le support WhatsApp à l’adresse : support@whatsapp.com.
Recevez par email toute l’actualité du digital
