Attention à cette nouvelle arnaque sur WhatsApp qui permet à des pirates de dérober votre compte

Par Pierre Crochart, Spécialiste smartphone.

Publié le 30 mai 2022 à 07h35

En sécurité informatique, le mieux est encore de suivre les conseils de nos parents : ne pas faire confiance aux inconnus. Et la dernière arnaque en vogue sur WhatsApp vient une nouvelle fois confirmer l’adage.

Avec ses deux milliards d’utilisateurs et utilisatrices, WhatsApp représente une cible de choix pour les pirates. Une technique très simple leur permet aujourd’hui d’obtenir l’accès à votre compte sur la messagerie instantanée.

N’appelez surtout pas ce numéro

Nous devons la découverte de cette méthode de piratage à Rahul Sasi, P.-D.G. de l’entreprise CloudSek, justement spécialisée dans la prédiction des cybermenaces.

D’après lui, la méthode mise au point par les pirates est en réalité la plus simple que l'on puisse imaginer. Mais c’est peut-être ce qui la rend la plus dangereuse, en cela qu’elle s’apparente à un scam tout ce qu’il y a de plus élémentaire.

Le mode opératoire est le suivant : un pirate appelle un numéro, et demande à la personne qui répond de composer le numéro qu’il lui donne. Si sa cible est crédule et s’exécute, c’est déjà trop tard : le hacker aura aussitôt obtenu l’accès à l’administration de son compte WhatsApp.

Une arnaque peu répandue en France

Dans le détail, Rahul Sasi explique que les pirates demandent à leurs victimes de composer un numéro qui commence soit par 45, soit par 405, ce qui aura pour effet de les déconnecter instantanément de leur compte WhatsApp et de laisser le champ libre aux cybercriminels.

Mais, vous aurez bien remarqué que ces indicatifs téléphoniques sont pour le moins baroques en France. Il y a peu de chances qu’une personne un tant soit peu sensibilisée aux mécaniques du fishing en ligne se fasse avoir. Or, ce n’est pas le cas dans tous les pays.

« Une fois que le pirate obtient l’accès au compte, il [se fait passer pour la victime] pour demander de l’argent à ses contacts », détaille Rahul Sasi. « De cette façon, le criminel abuse des contacts de la victime avant même que celle-ci ne se soit rendu compte qu’elle a perdu le contrôle de son compte. »

L’occasion de rappeler que la meilleure façon de protéger son compte WhatsApp, mais également l’intégralité de ses réseaux sociaux sur Internet, est d'appliquer un mot de passe robuste, et d’activer l’authentification à double-facteur sur tous vos comptes.

Source : 91 Mobiles

Par Pierre Crochart

Spécialiste smartphone

Monsieur smartphone et jeux vidéo de Clubic. J’aime autant croquer dans la pomme que trifouiller dans les circuits de l’Android. J'ai commencé à tester des téléphones dans le Monde d'avant™. Mes domaines d'expertise :

Articles de Pierre Crochart

Piratage

Actualités High-Tech

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Rejoignez la communauté Clubic

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

Commentaires (10)

bmustang

où est la fiabilité de cette fraude que vous expliquez si juste un mot de passe robuste et ou un 2FA activé suffit pour s’en protéger ? J’essaie de comprendre votre article qui semble incomplet ou à faire peur aux utilisateurs ?

Felaz

Cela semble être un copycat du WhatsApp OTP scam WhatsApp OTP scam: what is it, how it affects you, and how to protect yourself | 91mobiles.com et ce n’est pas juste pour faire peur, ya des utilisateurs imprudents…

davidly

J’ai du mal à comprendre. C’est une faille WhatsApp qui permet à l’attaquant d’accéder au compte si l’utilisateur entre un code dans le clavier numérique de l’application téléphone, ou directement sur WhatsApp ?

Edit : merci Felaz pour les précisions.

NumLOCK

Je n’y comprends rien.
S’agit-il:

A) de composer un numéro (comme le dit l’article) ? Dans ce cas, comment cette attaque est-elle censée fonctionner ? Il n’y a aucune info à ce sujet dans l’article.

B) de transmettre un OTP à l’attaquant (comme le dit Felaz)? Dans ce cas, c’est du vu, revu et re-cuit…

atmen

L’article du lien de Felaz est ancien et ne semble pas correspondre au mode opératoire décrit dans l’article, envoie d’un OTP dans le chat WhatsApp au lieu d’appeler un numéro 45 ou 405. L’article n’est en effet pas très clair et manque d’analyse.

Black_Lotus_974

Comme les autres, j’ai du mal à comprendre comment taper un nombre peut déconnecter le compte (pourquoi pas) mais comment cela pourrait permettre à l’attaquant de prendre le contrôle de son compte (plus inquiétant sur ce point)

LeToi

C’est quoi la différence entre le fishing et le phishing ?

LeGrosWinnie

En fait c’est bien le principe du code de vérification sauf que c’est entièrement automatisé.
Ici c’est le fait d’appeler le numéro qui va générer l’envoi du SMS automatiquement (archi simple à faire avec un serveur vocal, ça prend le numéro de l’appelant et créer la procédure de récupération de compte WhatsApp instantanément du coup vous recevez aussitôt le code), ensuite ça demande d’entrer le code de vérification reçu pour soi-disant sécuriser le compte, sauf que du coup vous aurez compris que ça fait l’effet inverse.

LeGrosWinnie

Le poisson pêché ? XD
fish : poisson (to fish : pêcher).
phishing avec ph prononcé comme « pf », donne donc pêcher aussi.
Comme l’expression « aller à la pêche » (aux informations).
En français on le traduit par « hameçonnage ».
Mais ce n’est presque pas utilisé en réalité dans le langage courant, hameçonner veut dire garnir une ligne d’hameçons.
Et non pas appâter quelqu’un…

Bref, traduction merdique française qui perd tout sont sens qui correspond bien à la base que le pirate va à la pêche aux info.

NumLOCK

Ah, merci pour ce bon résumé LeGrosWinnie.

Ces procédures d’account recovery ont beau être pratiques pour le grand public, elle constituent néanmoins une grosse faille de sécurité sur laquelle on n’a malheureusement aucun contrôle.

À mon sens, les utilisateurs avertis (ceux qui sont capables de gérer correctement leur identité numérique) devraient avoir le choix de faire un « opt out » définitif (pour désactiver ces fonctionnalités) au niveau de leur compte. Ensuite plus de problèmes, plus de SMS bidon « Here is your account recovery code » tous les 3 jours, etc…

Mais bon, ca fait belle lurette que les utilisateurs avertis ne sont plus le public cible des géants de l’Internet…