Grosse faille pour WhatsApp

WhatsApp est actuellement une des solutions de messageries les plus utilisées dans le monde, avec plus de deux milliards d’utilisateurs actifs. Sans surprise, cette popularité a poussé de nombreux escrocs et personnes mal intentionnées à monter des arnaques sur la plateforme.

Mais cette fois, le problème est un peu différent. En s’intéressant au processus d’identification de l’application, Jake Moore, un chercheur d’ESET, a trouvé une faille majeure qui pourrait compromettre nos comptes. Une histoire rapportée par Forbes.

Crédits Pixabay

Et pour ne rien arranger, cette faille est propre au fonctionnement même de WhatsApp.

Une faille propre au fonctionnement de WhatsApp

Vous le savez sans doute si vous avez déjà utilisé l’application, mais lorsque vous l’installez sur un nouvel appareil et que vous saisissez pour la première fois votre numéro de téléphone, WhatsApp vous envoie un code par SMS afin de vérifier que vous êtes bien le propriétaire de la ligne.

Un code que vous devez ensuite saisir dans l’application pour montrer patte blanche et vérifier votre compte. Une fois cette étape franchie, l’outil demande ensuite que vous saisissiez votre mot de passe.

Il y a cependant un problème, assez évident. Ce problème, c’est que tout le monde peut installer WhatsApp sur son téléphone et saisir votre numéro de téléphone. Vous recevrez les SMS avec les codes, mais cela ne changera rien au problème.

En effet, pour éviter les abus, WhatsApp limite le nombre de codes pouvant être saisis dans l’application. Et au bout de plusieurs essais infructueux, l’envoi de code est bloqué… pour une durée de 12 heures.

Une histoire de codes

Si vous avez déjà configuré votre compte sur votre téléphone, vous pensez peut-être que vous serez à l’abri. Ce n’est pas le cas.

Supposons maintenant que l’attaquant décide de créer une fausse adresse mail à votre nom et qu’il contacte le support de WhatsApp pour lui signifier la perte ou le vol de son téléphone… et demander du même coup la désactivation de son compte sur ce dernier.

L’entreprise ne procédant pas à la moindre vérification, vous serez tout d’un coup déconnecté de votre compte. Avec pour seul choix de vous identifier de nouveau… alors que l’envoi de codes est bloqué.

Vous avez sans doute compris le fond du problème maintenant. L’attaquant pourra maintenir votre compte bloqué autant de temps qu’il le désire en répétant indéfiniment ses demandes de codes. Et vous, de votre côté, vous ne pourrez plus accéder à votre compte.

Alors bien sûr, cette attaque n’est pas très sophistiquée, mais elle peut suffire à nuire à une personne. Il faut donc espérer que WhatsApp saura prendre des mesures adaptées pour éviter que le pire ne se produise.

En attendant, vous trouverez ici quelques conseils pour sécuriser votre compte WhatsApp.

Mots-clés whatsapp