Selon les chercheurs en sécurité, il existe une nouvelle vulnérabilité dans WhatsApp qui pourrait inciter davantage d’utilisateurs à quitter WhatsApp pour de bon. Des attaquants malveillants pourraient facilement utiliser cette vulnérabilité et vous exclure de votre compte WhatsApp. Ce sera pour une durée indéterminée, c’est pourquoi c’est plus qu’un simple inconvénient mineur. Cependant, les choses sont pires qu’elles n’en ont l’air.
Selon les chercheurs Luis Márquez Carpintero et Ernesto Canales Pereña ont expliqué que les attaquants n’ont même pas besoin de logiciel ou de formation spécifique qu’ils peuvent utiliser pour exploiter ce problème. Ils doivent seulement avoir accès à votre numéro de téléphone et, une fois qu’ils l’ont obtenu, ils peuvent vous exclure de votre compte WhatsApp sans vraiment beaucoup d’efforts.
WhatsApp est actuellement confronté à l’une des pires vulnérabilités possibles
Alors, comment ça marche? Eh bien, WhatsApp nécessite une authentification à deux facteurs chaque fois que vous vous connectez à l’aide d’un nouvel appareil. Pour cela, vous recevez un code à six chiffres sur votre numéro de téléphone pour vérification, et si vous entrez le mauvais code plusieurs fois, votre compte est automatiquement suspendu pendant 12 heures.
Les attaquants peuvent exploiter cette authentification en installant WhatsApp sur un nouvel appareil, en entrant votre numéro de téléphone et en entrant à plusieurs reprises le mauvais code. Bien que cela vous empêche de vous connecter sur un nouvel appareil pendant les 12 prochaines heures, cela n’affectera pas votre installation actuelle de WhatsApp sur l’appareil que vous utilisez activement et fonctionnera comme prévu.
Pour vous empêcher de vous connecter sur un nouvel appareil, un attaquant n’a besoin de répéter cet exploit que trois fois, et la troisième fois, le minuteur de suspension de l’application s’arrête et affiche un minuteur de-1 seconde à la place. Une fois que ce bogue apparaît, WhatsApp ne vous permettra pas du tout de vous connecter sur un nouvel appareil. En ce qui concerne votre appareil actuel, WhatsApp continuera de fonctionner correctement. Cependant, les choses ne sont pas encore terminées.
L’attaque finale brisera votre l’installation actuelle également, et vous serez définitivement bloqué hors du compte. Pour cela, l’attaquant devra envoyer WhatsApp dans un e-mail demandant au service de désactiver votre numéro de téléphone. WhatsApp pourrait envoyer une réponse automatisée demandant à l’attaquant de confirmer le numéro, et une fois la confirmation effectuée, WhatsApp supprimera automatiquement votre compte à votre insu.
Votre installation actuelle cessera de fonctionner immédiatement et vous verrez une notification indiquant: “Votre numéro de téléphone n’est plus enregistré auprès de WhatsApp sur ce téléphone. Cela peut être dû au fait que vous l’avez enregistré sur un autre téléphone. Si vous ne l’avez pas fait, vérifiez votre numéro de téléphone pour vous reconnecter à votre compte.” Après cela, lorsque vous essayez de vérifier votre numéro, vous verrez un minuteur de suspension de-1 seconde et vous ne pourrez plus vous reconnecter.
Étant donné que cette attaque ne nécessite absolument aucun équipement spécialisé ou savoir-faire technique, cela devient d’autant plus dangereux, et l’entreprise doit y remédier immédiatement avant que cela ne devienne incontrôlable.