Les chercheurs en sécurité ont découvert une nouvelle vulnérabilité WhatsApp qui permet aux attaquants de facilement vous bloquer l'accès à votre compte.
Les chercheurs en sécurité ont découvert une nouvelle vulnérabilité dans WhatsApp qui pourrait inciter davantage d'utilisateurs à quitter le service de messagerie appartenant à Facebook. Les acteurs malveillants peuvent facilement exploiter cette vulnérabilité pour vous bloquer indéfiniment sur votre compte WhatsApp, ce qui en fait bien plus qu'un simple inconvénient mineur pour les plus de 2 milliards d'utilisateurs de la messagerie. Mais ce n'est pas le pire.
Selon les chercheurs Luis Márquez Carpintero et Ernesto Canales Pereña (via Forbes), les attaquants n'ont besoin d'aucun logiciel ou formation spécial pour exploiter cette vulnérabilité. Ils n’ont besoin que d’accéder à votre numéro de téléphone. Une fois qu’ils l’ont, ils peuvent vous bloquer l’accès à votre compte WhatsApp sans trop d’effort. Et voici comment cela fonctionne.
WhatsApp nécessite une authentification à deux facteurs chaque fois que vous vous connectez sur un nouvel appareil. Pour cela, le service envoie un code à six chiffres à votre numéro de téléphone pour vérification. Si vous saisissez plusieurs fois le mauvais code, WhatsApp suspend automatiquement votre compte pendant 12 heures.
Les attaquants peuvent exploiter ce système d’authentification à deux facteurs en installant WhatsApp sur un nouvel appareil, en saisissant votre numéro de téléphone et en saisissant à plusieurs reprises le mauvais code. Bien que cela vous empêche de vous connecter sur un nouvel appareil pendant les 12 prochaines heures, cela n'affectera pas votre installation actuelle de WhatsApp. Cela continuera à fonctionner comme prévu.
Pour vous empêcher de vous connecter indéfiniment sur un nouvel appareil, un attaquant n’a qu’à répéter trois fois les étapes susmentionnées. Au troisième cycle de 12 heures, le minuteur de suspension de l'application s'arrêtera et commencera à afficher un minuteur « -1 seconde » à la place. Une fois ce bug apparu, WhatsApp ne vous permettra plus du tout de vous connecter sur un nouvel appareil. Cependant, votre installation actuelle continuera à fonctionner. Mais l’exploit ne s’arrête pas là, car il peut être enchaîné pour augmenter considérablement son impact.
Le dernier mouvement de l'attaquant interrompra également votre installation actuelle et vous serez définitivement exclu de votre compte. Pour cela, il suffit à l’attaquant d’envoyer à WhatsApp un email demandant au service de désactiver votre numéro de téléphone. WhatsApp peut envoyer une réponse automatique demandant à l'attaquant de confirmer le numéro, et une fois confirmé, WhatsApp désactivera automatiquement votre compte à votre insu.
Votre installation actuelle de WhatsApp cessera alors soudainement de fonctionner et vous verrez la notification suivante: "Votre numéro de téléphone n'est plus enregistré sur WhatsApp sur ce téléphone. Cela peut être dû au fait que vous l'avez enregistré sur un autre téléphone. Si vous ne l'avez pas fait, vérifiez votre numéro de téléphone pour vous reconnecter à votre compte." Désormais, lorsque vous essayez de vérifier votre numéro de téléphone, vous verrez le minuteur de suspension « -1 secondes » et vous ne pourrez plus vous connecter du tout.
Comme cette attaque n’est pas sophistiquée, toute personne ayant accès à votre numéro de téléphone peut facilement vous empêcher d’accéder à votre compte WhatsApp en quelques jours. Par conséquent, WhatsApp doit résoudre immédiatement ce problème flagrant.
Le messager a déjà été alerté du problème. En réponse à cette divulgation, un porte-parole de WhatsApp a déclaré Forbes que "fournir une adresse e-mail avec votre vérification en deux étapes aide notre équipe du service client à aider les personnes qui rencontrent ce problème improbable." Le fait que WhatsApp considère qu'il s'agit d'un problème « improbable » devrait être une raison suffisante pour que de nombreux utilisateurs s'éloignent du service. En plus de cela, le porte-parole a ajouté que ceux qui tenteraient l'exploit violeraient les conditions de service de WhatsApp. Comme si cela allait effrayer tous les pirates informatiques et empêcher les farceurs de tenter l’exploit sur un utilisateur sans méfiance.
Nous exhortons nos lecteurs à ne pas exploiter cette vulnérabilité, non pas parce que violer les conditions d'utilisation de WhatsApp vous mènera en prison, mais parce que c'est une chose plutôt merdique à faire. De plus, si vous êtes enfin prêt à passer à un autre service, consultez notre guide détaillé sur les alternatives WhatsApp qui met en évidence tous les avantages et les inconvénients du passage à une autre plateforme.