Vol de compte WhatsApp : ne composez surtout pas ce code !

Il est devenu presque trop simple de se faire voler son compte WhatsApp. Soyez vigilant et surtout n’acceptez jamais de taper un code bizarre sur l’invitation d’une personne, même d’un ami !

C’est un véritable problème autour de WhatsApp découvert par Rahul Sasi, dirigeant de la société CloudSEK et rendu public par nos confrères de Bleeping Computer. Même si on ne peut l’imputer à WhatsApp, cette technique risque de faire beaucoup de victimes. La manipulation consiste à tromper un utilisateur de WhatsApp en lui faisant composer un numéro spécial permettant de faire suivre un appel vers un autre appareil. Ces numéros, appelés codes MMI, commencent par * ou par # et leurs fonctionnements varient d’un pays à l’autre et même d’un opérateur à un autre.

Simple comme un coup de fil

Dans le pire des cas, la victime, en composant ce code, va transférer l’intégralité de ses appels vers le téléphone du pirate. Une fois que le transfert d’appel est réalisé, le malandrin va simplement voler le compte WhatsApp en réceptionnant le code d’authentification permettant de devenir le nouveau titulaire. Et comme il n’est pas possible d’avoir un compte WhatsApp sur deux appareils différents, l’application disparaîtra du smartphone de la victime. Le but est bien sûr pour le pirate de se faire passer pour vous, d’avoir accès à tous vos contacts pour refaire la même manipulation ou monter une escroquerie (« Salut Patrick, c’est Jean-Paul, je suis en galère avec mon WhatsApp, tu veux pas composer ce numéro sur ton tel, je t’expliquerai plus tard » ou « Salut Patrick, je suis coincé au Kosovo, tu peux me faire un virement PayPal, je te rembourse quand je rentre »). Rien de bien sorcier à mettre en place, même par le plus idiot des malfaiteurs. Cependant, il faudra de nombreuses tentatives pour qu’un brigand arrive à ses fins puisque comme nous l’avons mentionné plus haut, ces codes MMI fonctionnent de manières différentes. Ils peuvent par exemple transférer les appels uniquement lorsque l’appareil d’origine est occupé par exemple. Il faudra donc que le pirate appelle la victime le temps de récupérer le code d’authentification WhatsApp sur un autre appareil. Une gymnastique pas évidente, mais loin d’être insurmontable.

Avec un brin de social-engineering…

Comme l’explique Bleeping Computer, durant le vol, des messages sont fréquemment envoyés à la victime pour la prévenir que son compte est en train d’être enregistré sur un autre appareil. Mais attention, là encore, le pirate peut déjouer la méfiance de la victime en utilisant une petite dose de social engineering : « Tu vas recevoir des messages, mais ne t’inquiètes pas, c’est rien », « Mon WhatsApp déconne vraiment , tu vas recevoir des messages chelous », etc. On peut aussi imaginer que le pirate continue d’appeler la victime pendant l’opération pour qu’elle évite de regarder ses notifications.

Bref, même si vous connaissez la personne, ne tapez jamais de code sur votre appareil même pour une question de vie ou de mort. Au pire, faites un appel en visio…

WhatsApp
Ces codes MMI ou USSD sont utilisés dans certains pays pour recharger votre forfait…

Laisser un commentaire