WhatsApp : une faille permet de bloquer facilement votre compte
Avec un simple numéro de téléphone, n’importe quelle personne malintentionnée peut bloquer définitivement un compte WhatsApp, et ce sans aucune connaissance particulière en matière de piratage ou de cybersécurité. Cette faille de sécurité est rendue possible grâce à l’authentification à deux facteurs, justement censée sécuriser au mieux un compte.
L’authentification à deux facteurs à l’origine de la faille
La messagerie appartenant à Facebook fait l’objet d’une fraude qui permet de priver ses utilisateurs de leur compte, en mettant à profit leur numéro de téléphone.
Elle est un savant mélange de double authentification et de course contre la montre. Une technique découverte par deux chercheurs en sécurité, cités par Forbes, permet de prendre le contrôle de comptes WhatsApp.
L’authentification à deux facteurs est un système de sécurité qui a largement fait ses preuves, pour sécuriser nos comptes. En effet, aujourd’hui, quasiment toutes les applications « sensibles » (Google, Facebook, applications bancaires, etc.) l’utilisent. Concrètement, ce système permet à un utilisateur de générer un code éphémère à chaque nouvelle connexion, en plus de son mot de passe classique. Ce code est envoyé généralement sur le numéro de téléphone que l’usager a préalablement renseigné, ce qui permet ainsi de garantir une sécurité optimale. Seulement voilà… Sur WhatsApp, une faille utilisant ce système permet supprimer le compte d’un tiers.
Comment est-ce possible ?
En utilisant simplement votre numéro de téléphone, une personne tierce peut tenter de se connecter à votre compte WhatsApp, et générer ainsi une multitude de codes via l’authentification à double facteur. Elle n’aura évidemment pas accès à ces derniers, puisque les codes arriveront directement par SMS sur votre téléphone.
Lorsque le nombre de tentatives de connexion aura été dépassé, WhatsApp bloquera son système. L’envoi de SMS sera alors suspendu pendant 12 heures, et votre compte sera inutilisable durant cette période.
Le problème : les restrictions auxquelles sont soumis les pirates s’appliquent également au détenteur du compte. Résultat, l’envoi de SMS par WhatsApp est bloqué pendant 12 heures. Aux hackers de passer désormais à la seconde étape, durant ces mêmes 12 heures : l’envoi d’un mail à l’adresse support@whatsapp.com, faisant mention d’un compte perdu ou volé. L’idée étant de désactiver le numéro de téléphone associé au compte WhatsApp en question. L’envoi de SMS étant bloqué, la réponse se fera par mail, le compte étant désormais lui aussi temporairement bloqué.
Trois essais et votre compte est supprimé
Dès lors, et sans raison apparente, l’utilisateur recevra une notification, comportant le message suivant: « Votre numéro de téléphone n’est plus enregistré avec WhatsApp sur ce téléphone. Cela peut être dû au fait que vous l’avez enregistré sur un autre téléphone. Si vous ne l’avez pas fait, vérifiez votre numéro de téléphone pour vous reconnecter à votre compte. »
Au bout des 12 heures, et si le pirate souhaite réellement bloquer un compte, il lui suffit de réitérer l’opération. Au bout de trois périodes de 12 heures, et si le possesseur du compte WhatsApp ne fait rien, l’application considère le compte comme frauduleux.
Pour l’instant, WhatsApp n’a apporté aucune solution. Espérons qu’une mise à jour corrige au plus vite cette faille !
Encore un peu de temps ? Découvrez les nouvelles options de personnalisation qui arrivent bientôt sur WhatsApp !
