Des milliers de comptes WhatsApp dérobés à leurs propriétaires

Une nouvelle méthode de piratage permet aux utilisateurs malintentionnés de dérober un compte WhatsApp à leurs contacts. L’alerte vient d’être lancée par le Centre Israélien de Cyber sécurité et concernerait potentiellement des millions d’utilisateurs.
Cette nouvelle méthode consiste à prendre le contrôle d’un compte WhatsApp via le répondeur téléphonique de la personne. La procédure de détournement du compte consiste à faire en sorte d’ajouter un numéro de téléphone au compte WhatsApp de la victime, mais en essayant d’y accéder depuis un autre téléphone, puis de récupérer un code de récupération sur le répondeur.
Faiblement protégés et souvent délaissés, les codes de sécurité des répondeurs sont généralement des plus simples, puisqu’une grande majorité de ses utilisateurs ne le modifie pas et consiste donc en un code comme « 0000 » ou « 1234 ».
C’est la recrudescence de détournement de comptes WhatsApp qui a poussé le gouvernement israélien à donner l’alerte à un niveau national, alors que cette technique de piratage a été découverte par Ran Bar-Zik en 2017.
« C’est un problème bien connu et je ne pense pas que cela soit ici la faute de Facebook, mais plutôt celle des opérateurs télécoms et de leurs lacunes en matière de sécurisation des répondeurs » a-t-il déclaré à ZDnet.com.
Une méthode de piratage des plus simples…
La procédure de récupération de compte de WhatsApp consiste à tout d’abord envoyer un mot de passe à usage unique par SMS.
Après quelques vaines tentatives, un nouveau numéro à usage unique est envoyé cette fois-ci par un message vocal. Sans réaction de la personne attaquée, le message terminera sur le répondeur du téléphone.
De nombreux opérateurs permettent un accès à distance à sa messagerie vocale, il ne suffira plus qu’à l’agresseur d’accéder au répondeur de sa victime, pour enfin récupérer le code de déverrouillage du compte.
Pire, une fois que cet assaillant aura pris possession du compte, il ne lui suffira plus qu’à activer l’authentification à deux étapes pour en garder un contrôle définitif.
Bien sûr, ce genre d’opération peut facilement alerter l’utilisateur du compte WhatsApp, mais cette problématique peut être facilement contournée en réalisant ce type d’attaque la nuit, pendant que cette même personne dort sur ses deux oreilles.
…mais une solution existe !
Cependant, cette technique maligne peut être aisément évitée en activant la vérification en deux étapes dans les paramètres de son compte WhatsApp. Il va de soi qu’il est recommandé d’utiliser un mot de passe un minimum élaboré, qu’il faudra par la suite précieusement conserver.
La même idée s’applique au répondeur de son compte téléphonique afin d’éviter tout problème de détournement de sa messagerie vocale.
Le mieux serait que les opérateurs évitent de réutiliser le même code pour tous leurs clients, en préférant un code plus personnel comme la date de naissance, par exemple. Sans être parfaite, cette technique éviterait bien des problèmes et serait meilleure que celle actuellement utilisée.

Be the first to comment

Leave a Reply

Your email address will not be published.


*