Les choses pourraient devenir vraiment désagréables pour utilisateurs de WhatsApp si vous ne faites pas attention. Une nouvelle vulnérabilité a été découverte qui pourrait permettre à un attaquant distant de désactiver facilement WhatsApp sur votre téléphone, avec juste votre numéro de téléphone. Ce qui est inquiétant, c’est que l’authentification à deux facteurs ne pourra pas empêcher que cela se produise. WhatsApp, propriété de Facebook, compte plus de 2 milliards d’utilisateurs dans le monde, quelques uns ou quelques-uns, ce qui en fait l’application de messagerie instantanée la plus populaire et la plus utilisée au monde. La façon dont cette attaque fonctionne est qu’elle nécessite une certaine quantité d’erreurs de la part de l’utilisateur lui-même, mais à l’étape suivante qui devrait être conçue pour protéger cela, l’authentification à deux facteurs ne fait rien pour empêcher l’attaque. Les chercheurs en sécurité, Luis Márquez Carpintero et Ernesto Canales Pereña ont démontré la vulnérabilité et ont pu tuer WhatsApp sur le téléphone d’un utilisateur, à Forbes .
Il y a deux parties à cette vulnérabilité, comme décrit dans le rapport. Le premier est de savoir comment WhatsApp est installé sur n’importe quel appareil. Par exemple, lorsque vous installez WhatsApp sur votre téléphone, vous recevez un code SMS pour vérifier la carte SIM et le numéro. La même chose peut être faite par un pirate informatique: installez WhatsApp sur son téléphone en utilisant votre numéro de téléphone. À ce stade, vous commencerez à recevoir des codes à six chiffres sur SMS suggérant que quelqu’un a demandé le code pour installer WhatsApp sur son téléphone. Vous ne pouvez rien faire et WhatsApp sur votre téléphone continue de fonctionner normalement pour le moment. Ces codes arriveront à plusieurs reprises, car cela fait partie du processus de piratage. À un moment donné, le processus de vérification de WhatsApp limitera le nombre de codes pouvant être envoyés et limitera la possibilité de générer plus de codes pendant une période de 12 heures. Pendant ce temps, votre WhatsApp continue de fonctionner absolument normalement. Ce que vous ne devriez pas faire à ce stade, c’est de désactiver WhatsApp sur votre téléphone et d’essayer de le réinstaller. Vous ne pourrez pas générer de code. Cette vulnérabilité devrait avoir un impact sur WhatsApp pour Android et WhatsApp pour iPhone.
Activé à l’étape suivante. Le pirate crée un identifiant de courrier électronique, puis envoie un courrier électronique à [email protected] indiquant que le téléphone sur lequel WhatsApp a été installé est volé ou perdu et qu’il doit désactiver WhatsApp pour ce numéro-et ce sera votre numéro de téléphone. WhatsApp peut confirmer à nouveau votre numéro par e-mail, mais il n’y a aucun moyen pour eux de déterminer s’il s’agit d’un pirate informatique qui envoie ces e-mails ou du véritable propriétaire. Après un certain temps, WhatsApp pour votre numéro de téléphone sera désactivé. Vous verrez la notification”Votre numéro de téléphone n’est plus enregistré avec WhatsApp sur ce téléphone”lorsque vous ouvrirez l’application ensuite. Il poursuit en disant que cela peut être dû au fait que WhatsApp a été installé sur un autre téléphone. Soyez très alarmé à ce stade.
La marche à suivre logique serait d’essayer de configurer à nouveau WhatsApp sur votre téléphone. Vous entrez votre numéro et attendez le code de vérification. Le rapport suggère qu’aucun code n’arrivera sur SMS et l’application vous dira «Attendez avant de demander un SMS ou un appel». En effet, votre téléphone est désormais soumis au même compte à rebours de 12 heures avec des possibilités de revérification limitées. «Mais soudain, vous vous souvenez que vous avez reçu des codes WhatsApp inattendus une heure ou deux plus tôt. Vous récupérez le SMS le plus récent et entrez le code dans WhatsApp. Mais même cela ne fonctionnera pas. «Vous avez deviné trop de fois», vous dit votre WhatsApp. De toute évidence, vous n’avez pas du tout deviné. Mais votre téléphone a les mêmes restrictions que celui de l’attaquant. Vous ne pouvez pas demander un nouveau code, vous ne pouvez pas entrer le dernier code, vous êtes bloqué », indique le rapport.
Une fois les 12 heures écoulées, vous aurez deux chemins et pourrez en emprunter un en fonction de votre chance. Si l’attaque s’arrête ici, vous pourrez enregistrer WhatsApp sur votre téléphone et la vie peut redevenir normale. Mais sinon, d’autres problèmes vous attendent. Si l’attaquant attend la période de 12 heures et envoie à nouveau un e-mail à WhatsApp, vous ne pourrez pas configurer WhatsApp sur votre téléphone, même si vous recevez les messages texte avec des codes. Les chercheurs indiquent que WhatsApp tombe en panne et devient confus après le troisième cycle de 12 heures et au lieu d’un compte à rebours, il dit simplement «réessayez après-1 seconde». Le même traitement est appliqué à votre téléphone et au téléphone de l’attaquant. Et c’est là que réside le problème. Si l’attaquant attend jusqu’à maintenant avant d’envoyer à nouveau WhatsApp par e-mail pour désactiver votre numéro, vous n’aurez aucun moyen de réenregistrer WhatsApp sur votre téléphone lorsque vous serez expulsé de votre application.”Il est trop tard”, ont déclaré les chercheurs à Forbes.
Le problème avec la vérification WhatsApp L’architecture est que les codes SMS et le support de messagerie automatisé n’ont pas de deuxième couche pour vérifier l’authenticité et sont très ouverts aux abus. Les chercheurs soulignent également que ce type d’attaque ne nécessite aucune sophistication pour être mis en œuvre. «Il n’y a aucun moyen de refuser d’être découvert sur WhatsApp. Tout le monde peut saisir un numéro de téléphone pour localiser le compte associé s’il existe. Dans l’idéal, une évolution vers une plus grande concentration sur la confidentialité aiderait à protéger les utilisateurs contre cela et à forcer les gens à mettre en œuvre un code PIN de vérification en deux étapes », a déclaré Jake Moore d’ESET à Forbes. WhatsApp est simplement lié à un numéro de téléphone et n’a pas de politique d’appareil de confiance qui le lie à un ID d’appareil ou au système d’exploitation sur lequel il a été installé et vérifié pour la dernière fois.
Malheureusement, la réponse de WhatsApp à Zak Doffman de Forbes ne suscite pas vraiment beaucoup de confiance. Tout ce qu’ils disent, c’est que «fournir une adresse e-mail avec votre vérification en deux étapes aide notre équipe de service client à aider les gens en cas de problème improbable. Les circonstances identifiées par ce chercheur enfreindraient nos conditions d’utilisation et nous encourageons toute personne ayant besoin d’aide à envoyer un e-mail à notre équipe d’assistance afin que nous puissions enquêter.”Vraiment, si votre WhatsApp a été piraté, le fait de savoir que la personne responsable de cette attaque non sophistiquée enfreint les conditions de service de WhatsApp ne constitue guère de consolation. Le rapport indique également que WhatsApp n’a confirmé aucun plan pour corriger cette vulnérabilité.
Lisez tous les Dernières nouvelles et Dernières nouvelles ici