Si vous utilisez WhatsApp, vous devriez vous méfier d'une attaque où des cybercriminels pourraient suspendre votre compte en utilisant uniquement votre numéro de téléphone. La faille sous-jacente abuse d'une faille dans la sécurité de deux processus WhatsApp indépendants, selon Forbes, qui cite des recherches menées par Luis Márquez Carpintero et Ernesto Canales Pereña.
Dans le contexte de la configuration de votre compte WhatsApp sur un appareil, il vous est demandé de fournir votre numéro de téléphone, auquel un code de vérification est envoyé. Une fois que vous avez saisi le code, vous êtes invité à saisir votre numéro d'authentification à deux facteurs (2FA) pour confirmer votre identité.
Cependant, il n'y a aucun moyen d'empêcher quiconque d'utiliser votre numéro dans le processus de vérification. Si un attaquant le faisait, vous recevriez des appels et des messages de WhatsApp avec un code de vérification, ainsi qu'une notification vous invitant à ne partager le code d'enregistrement avec personne. Le criminel pourrait faire cela à plusieurs reprises, alors que vous pourriez ignorer les messages comme un bug.
Ces demandes finiraient par déclencher la limite imposée par WhatsApp quant au nombre de fois où les codes peuvent être envoyés et entraîneraient également le blocage des codes après plusieurs tentatives erronées - dans les deux cas pendant 12 heures. Le délai d'attente vous affecterait également, bien que vous ne le remarquiez pas si vous ne vous déconnectez pas dans l'intervalle.
À l'étape suivante, l'auteur de la menace crée une nouvelle adresse e-mail et envoie un e-mail au service d'assistance de WhatsApp avec pour objet « téléphone perdu/volé » et lui demande de désactiver votre numéro. Apparemment, la plateforme ne vérifiera l'identité de l'attaquant qu'en envoyant un e-mail automatisé demandant à nouveau votre numéro, ce à quoi l'usurpateur s'oblige. WhatsApp suspend alors votre compte. Et comme la limite des tentatives de vérification a été atteinte, vous ne pourrez plus vous connecter jusqu'à la fin du délai de 12 heures.
LECTURE COMPLÉMENTAIRE : Des logiciels malveillants vermouillables Android se propagent via WhatsApp
Malheureusement, si l'attaquant abuse du cycle de 12 heures trois fois de suite, WhatsApp se plante et au lieu d'inviter l'utilisateur à « réessayer 12 heures plus tard », il affiche un message les invitant à « réessayer après -1 secondes ». Les chercheurs ont averti que si l'attaquant attendait ce moment, il n'y aurait aucun moyen de récupérer votre compte, à moins que vous ne trouviez quelqu'un chez WhatsApp prêt à vous aider.
S'adressant à Forbes, un porte-parole de WhatsApp a déclaré que « fournir une adresse e-mail avec votre vérification en deux étapes aide notre équipe du service clientèle à aider les gens s'ils rencontrent un jour ce problème improbable. Les circonstances identifiées par ce chercheur violeraient nos conditions de service et nous encourageons toute personne ayant besoin d'aide à envoyer un e-mail à notre équipe de support afin que nous puissions enquêter. »
Le problème a attiré l'attention du spécialiste de la sécurité d'ESET, Jake Moore, qui a en fait montré récemment comment quelqu'un peut prendre le contrôle de votre compte WhatsApp en connaissant simplement votre numéro de téléphone. Moore avertit que la nouvelle faille ne doit pas être prise à la légère, d'autant plus qu'elle pourrait impacter des millions de personnes et qu'elle est relativement facile à réaliser.
« Il n'y a aucun moyen d'empêcher d'être découvert sur WhatsApp », explique-t-il. « N'importe qui peut taper un numéro de téléphone pour localiser le compte associé s'il existe. Idéalement, une évolution vers une plus grande attention à la vie privée aiderait à protéger les utilisateurs contre cela, ainsi qu'à forcer les gens à mettre en œuvre un PIN de vérification en deux étapes. »