C’est une découverte effrayante qui a été faite par deux chercheurs en sécurité relayée par Forbes. Avec un simple numéro de téléphone, n’importe quelle personne malintentionnée peut bloquer définitivement un compte WhatsApp et ce, sans aucune connaissance particulière en matière de piratage ou de cybersécurité.
Comble de l’ironie, cette faille de sécurité est rendue possible grâce a l’authentification a double facteur, justement censée sécuriser au mieux un compte.
L’authentification a double facteur de WhatsApp est au cœur de cette faille de sécurité
L’authentification a double facteur (2FA) est un système de sécurité qui a largement fait ses preuves par le passé, et aujourd’hui, quasiment toutes les applications “sensibles” (Google, Facebook, applications bancaires, etc.) l’utilisent.
Concrètement, ce système permet a un utilisateur de générer un code éphémère a chaque nouvelle connexion, en sus de son mot de passe classique. Ce code est envoyé généralement sur le numéro de téléphone que l’usager a préalablement renseigné, ce qui permet ainsi de garantir une sécurité optimale. S
En utilisant simplement votre numéro de téléphone, une personne tierce peut tenter de se connecter a votre compte WhatsApp, et générer ainsi une multitude de codes éphémères via l’authentification a double facteur.
Elle n’aura évidemment pas accès a ces derniers, puisque les codes générés arriveront directement par SMS sur votre téléphone, ce qui l’empêchera de se connecter a votre compte. Rassurant ? En théorie. Inoffensif ? Sûrement pas.
Lorsque le nombre de tentatives de connexion aura été dépassé, WhatsApp bloquera son système. L’envoi de SMS sera alors suspendu pendant 12 heures, et votre compte sera gelé durant ce même laps de temps.
L’attaquant n’aura alors qu’a envoyer un e-mail au support de WhatsApp via le formulaire « Compte perdu / volé », et a demander que le numéro de téléphone lié au compte soit désactivé. Le service de messagerie n’effectuant aucune vérification a ce niveau-la, n’importe quelle fausse adresse mail fera l’affaire.
Vous ne recevrez alors plus les codes de l’authentification a double facteur, et l’attaquant n’aura qu’a répéter son opération.
Au bout de trois périodes de suspension de 12 heures, WhatsApp désactivera automatiquement et définitivement votre compte, qu’il jugera comme étant corrompu. Un véritable jeu d’enfant qui ne requiert aucune compétence particulière, mais seulement une bonne dose de patience.
Echourouk online, 15 avr 2021
Etiquettes : Whatsapp, Facebook, piratage, hacking, réseaux sociaux,