Une faille permet de bloquer un compte WhatsApp grâce au numéro de téléphone associé

Publié le 15 avril 2021 à 11h10

WhatsApp est actuellement victime d’un problème de sécurité. Deux chercheurs ont découvert que l’application de messagerie instantanée permettait à toute personne malintentionnée de priver un utilisateur de son compte. Il suffit pour le pirate de connaitre le numéro de téléphone de sa victime.

Il n’existe actuellement aucune réelle solution pour pallier ce problème.

Une attaque en deux étapes

L’attaque peut être réalisée par tout un chacun. Il suffit en effet surtout de s'armer d’un peu de patience, d’une dose de malveillance et d’une bonne connexion Wi-Fi.

Dans les grandes lignes, la personne cherchant à bloquer le compte de sa victime va d’abord installer WhatsApp sur un smartphone et renseigner le numéro de téléphone de la personne ciblée. Celle-ci recevra une série de SMS sur son smartphone, comportant des chiffres utilisés pour vérifier le compte. Elle ne pourra rien en faire, n’ayant nul endroit où les renseigner. Pendant ce temps, le pirate va entrer des chiffres incorrects dans l’application.

Devant les envois répétés et infructueux, WhatsApp va, au bout d’un moment, bloquer le système, verrouillant le compte pirate et celui de la victime, reliés au même numéro, pendant 12 heures.

Vient la deuxième étape du piège. Pendant cette période, le pirate peut envoyer un faux mail au nom de la victime à l’adresse [email protected], demandant la désactivation du compte associé au numéro ciblé, pour cause de téléphone perdu ou volé.

L’attaque répétée pendant deux autres cycles de 12 heures déclenchera un message sur le téléphone de la la personne flouée : « vous avez essayé de deviner (le code) trop de fois, réessayez après -1 seconde ».

Message reçu par la victime d'un blocage de compte WhatsApp. © WhattsApp Androïd via Forbes

Cela engendrera le blocage du compte et la nécessité de contacter le support WhatsApp pour résoudre le problème.

Pas de vraie solution pour l’instant

Si rien n’indique que cette technique récemment découverte soit effectivement utilisée par des pirates, mieux vaut se prémunir. Pour l’heure, WhatsApp a reconnu le problème sans toutefois proposer de réelle solution. En cas de la réception par la victime d’un grand nombre de codes de vérification, Forbes conseille de contacter immédiatement le support d’assistance de WhatsApp, lequel pourra enquêter.

Le journal reprend aussi un tweet de Signal, qui demande ironiquement de suivre l’exemple de Mark Zuckerberg, et d’utiliser l'application.

Forbes déplore aussi que l'authentification à deux facteurs ne permette pas de vérifier le numéro du portable censé avoir été perdu ou volé. Une des pistes suggérée serait que WhatsApp utilise le concept d'appareil de confiance, qui permet à une application vérifiée d'en vérifier une autre, pour éviter ce type de déconvenue…

Source : Android Police , Forbes

Par Bruno Poncet

Aucun résumé disponible

Articles de Bruno Poncet

Cybersécurité

Actualités High-Tech

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Rejoignez la communauté Clubic

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

Commentaires (10)

Vankovic

Ce que j’en pense ?
Que vous venez de donner une marche à suivre complète aux personnes mal intentionnées… Dans le contexte du harcèlement scolaire, c’est cadeau !

Blap

De la meme maniere on peut supprimer certains comptes Tinder depuis des années

LeToi

Ça va juste le bloquer, pas le pirater pour le récupérer, mais c’est sûr que c’est galère pour la personne concernée…

gamez

déjà je trouve complètement con de bloquer un compte 12h juste parce qu’on n’a pas noté les bons codes de vérification.
Si vous me dites c’est pour éviter le piratage je vous repondrai que pour tenter des codes au hasard (à 6 chiffres), veuillez croire qu’à raison d’une tentative chaque minute (ce temps d’attente EST le système de sécurité après 3 tentatives normales ratées) cela suffit amplement pour décourager n’importe quel pirate en herbe.

Kriz4liD

Surtout quand tu cibles certaines personnes. j’en connais un paquet incapable d’envoyer un mail.

c_planet

peut-être qu’il suffit de désactiver sa connexion (opérateur) sms pour endiguer la procédure de la faille. ce qui laisse le temps de contacter whatsapp en gardant son compte actif.

Mais c’est quand même incroyable qu’une entreprise bloque un compte vérifié via des tentatives par un compte non vérifié, c’est un niveau de maitrise sécuritaire proche de l’amateurisme 0_°

ça veut dire aussi, qu’on peut s’inscrire sur whatsapp avec un n° poubelle et garder son n° principal caché de whatsapp.

Kovic : Ce que j’en pense ?
Que vous venez de donner une marche à suivre complète aux personnes mal intentionnées… Dans le contexte du harcèlement scolaire, c’est cadeau !

C’est plutôt cadeau pour la famille du gamin harcelé, en cas de plainte en justice on obtiendra les identifiants de l’attaque; Ceci dit un compte d’ado whatapp bloqué c’est peanuts comme désagrément, ça sera peut-être même le déclencheur d’une remontée des notes de cours, lol.

kyrios

Sauf que le pirate si il est un peu futé, il va utiliser un script que fera ca automatiquement et il n’aura qu’à laisser le smartphone branché. Au lieu de tester les codes séquentiellement, il peut tester les codes les plus probables en premier soit en utilisant des listes statistiques, soit sur base de ce qu’il sait de sa victime.
Et si il arrive à lancer l’attque depuis plusieurs appareils en parallèle, soit parce que le système est mal fichu (ce qui est souvent le cas), soit parce qu’il a trouvé un moyen d’exploiter une faille, c’est game over pour la victime.

jcc137

Donc si je comprends bien, le pirate, ou plutôt le malveillant car ledit pirate n’a rien à gagner au bout du compte, va dépenser une énergie folle juste pour le plaisir de bloquer le Whatsapp d’une personne qui elle, de toute façon, pourra toujours communiquer avec ses contacts par SMS.
Vraiment tordu comme esprit !

glittermen

Complémentent d’accord, de plus il suffit de faire un appel sur le numéro de la victime pour authentifier comme d’autres applications .

gamez

désolé mais je ne suis en rien d’accord avec ta réponse. je m’explique point par point:

alors… déjà ici j’avais bien parlé de « pirate en herbe » mais bref, passons

euh… tu sais combien de temps il faut pour tester tous les nombres à 6 chiffres à raison d’un nombre par minute?
je te laisse faire le calcul c’est pas bien compliqué lol ca fait presque 2 ans sans jamais s’arréter xD
voilà quoi…

tu as bien compris que l’article parle du code de vérification qui est envoyé et qu’il faut taper?
j’ai l’impression que tu parles du mot de passe de la victime (qui n’est clairement pas le sujet de l’article)

meme cet argument est à côté.
j’ai bien précisé que le systeme n’envoie qu’un code par minute pour un compte donné. tu peux me dire en quoi les autres appareils peuvent t’aider dans ce cas? 5 appareils qui demandent un code de verification au cours de la meme minute ne fera pas réagir le systeme, qui attend que la minute s’écoule avant d’envoyer un autre code.
xD
bref le systeme que je décris n’est pas si facile que ça à craquer. donc on est loin du game over que tu cites lol