WhatsApp : n’importe qui peut bloquer définitivement votre compte à distance !

WhatsApp, l’application de messagerie instantanée aux 2 milliards d’utilisateurs est à nouveau dans la tourmente. Une nouvelle faille de sécurité permet à n’importe qui de bloquer définitivement votre compte. Voici comment.

Cette nouvelle brèche découverte dans l’application WhatsApp concerne aussi bien les appareils Android que ceux tournant sous iOS. Elle permet de bloquer le compte des victimes, en outrepassant l’authentification à deux facteurs, pourtant réputée inviolable. Relayée par Forbes, cette découverte est le fruit de recherche effectuées par Luis Márquez Carpintero et Ernesto Canales Pereña. Ces experts en cybersécurité nous expliquent que le mode opératoire se déroule en deux étapes.

Étape 1 : le blocage des codes d’authentification

Tout d’abord, la personne voulant détruire un compte WhatsApp en crée un nouveau. Elle utilise pour cela le numéro de téléphone de sa victime. N’ayant pas le mot de passe, elle en essaye plusieurs. Cette action entraîne de multiples envois de messages vers le téléphone du propriétaire lui demandant de saisir les codes de vérification reçus.

Puisqu’elle est déjà connectée, la victime ignore ces messages. Sans se douter qu’au bout de plusieurs tentatives infructueuses WhatsApp bloque son compte. Le hacker a finalisé la première étape. Pour une période de 12 heures, il est impossible de recevoir de nouveaux codes de vérification.

Étape 2 : la demande de suppression du compte

C’est par ce système de sécurité mis en place par WhatsApp que le pirate va détruire votre compte. Pour cela, il usurpe l’identité du propriétaire du compte en utilisant une adresse Gmail. Dans la foulée, il contacte le support WhatsApp et demande à ce que le compte de sa victime soit désactivé.

Le propriétaire du compte reçoit alors un email avec le message suivant « Votre numéro de téléphone n’est plus enregistré avec WhatsApp sur ce téléphone. Cela peut être dû au fait que vous l’avez enregistré sur un autre téléphone. Si vous ne l’avez pas fait, vérifiez votre numéro de téléphone pour vous reconnecter à votre compte. »

WhatsApp

Cette notification l’informe également qu’une demande de désactivation de son compte est en cours. Et qu’aucun code de vérification ne peut être envoyé puisque trop de demandes ont été effectuées. L’étau se resserre dangereusement. Le pirate multiplie ces demandes de désactivation. Il réussi de la sorte à provoquer un blocage définitif du compte WhatsApp par WhatsApp… Laissant la personne visée dans par son attaque dans l’impossibilité de se réenregistrer et d’accéder à nouveau à son compte.

« De toute évidence, la combinaison de cette architecture de vérification, des limites SMS / code et des actions automatisées basées sur des mots-clés déclenchées par les e-mails entrants est sujette à des abus. Il n’y a aucune sophistication à cette attaque – c’est le vrai problème ici et WhatsApp devrait y remédier immédiatement », précise Zak Doffman, CEO et fondateur de Digital Barriers.

« Il y a de nombreuses raisons pour lesquelles il pourrait être avantageux de bloquer quelqu’un de son outil de messagerie de prédilection. Cela ne devrait pas être aussi simple. Et cela ne devrait pas fonctionner lorsque 2FA est activé, comme c’était le cas sur cette application cible ».

Suite à cette découverte, Forbes a contacté WhatsApp qui a reconnu le problème. L’entreprise ne compte pas le corriger de sitôt. Elle propose à ses utilisateurs de « renseigner une adresse e-mail au moment de la vérification en deux étapes». Avec ce genre de communication et sans compter les tentatives d’arnaques par SMS dont elle fait l’objet, pas étonnant que des millions de personnes aient quitté WhatsApp au profit de Signal

Source : Forbes