Piratage WhatsApp : une technique simple, mais redoutable
Piratage WhatsApp : une technique simple, mais redoutable
Un chercheur vient de trouver une étonnante faille de sécurité dans WhatsApp. Son astuce permet de contourner l'authentification lorsque le smartphone de la victime est en mode avion ou éteint. Et ainsi de pirater son compte !
Les développeurs d'applications et les hackers sont sans cesse en train de faire la course afin de trouver une éventuelle faille dans les API : les uns pour les corriger, les autres pour les exploiter. Et, parfois, les manœuvres les plus simples sont les meilleures. Zuk Avraham, un chercheur en cybersécurité et spécialiste des systèmes mobiles, a dévoilé sur Twitter avoir découvert une technique facile à mettre en œuvre, et pourtant redoutable, afin de prendre le contrôle de l'application lorsque le smartphone de la victime est éteint ou en mode avion – lorsqu'elle va se coucher par exemple. La clé du "succès" ? Son répondeur téléphonique.
Piratage WhatsApp : une attaque via la messagerie vocale
Généralement, quand une personne dort, elle éteint son smartphone ou le met en mode avion afin que les appels téléphoniques ne la réveillent pas. De ce fait, ces derniers sont automatiquement redirigés sur la WhatsApp de cette dernière. La plateforme va donc envoyer un SMS de vérification mais, comme le smartphone est hors connexion, le message va rester en attente. Le hacker va donc effectuer un nouvel essai, mais en demandant cette fois-ci une vérification par appel. Comme le téléphone est toujours indisponible, le service WhatsApp va laisser un message vocal sur la messagerie de l'utilisateur contenant le numéro d'identification. Et là, c'est le drame.
The recent WhatsApp s takeover is simple and genius.
— Zuk (@ihackbanme) January 19, 2023
This is how it works:
You're sleeping.
A "hacker" tries to to your via WhatsApp.
You get a text message with a pincode that says "Do not share this".
You don't share it, yet you still get hacked.
How?
La plupart des opérateurs proposent un service pour consulter ces messages vocaux à distance. Pour y accéder, il faut donner un code secret à quatre chiffres. Or, dans certains pays, ce code est composé par défaut des quatre derniers chiffres du numéro de téléphone. Le pirate n'a qu'à tenter sa chance et récupérer le numéro d'identification de WhatsApp pour accéder au compte. Le scénario est d'autant plus inquiétant que la plateforme a fait l'objet d'Meta corriger vite cette faille.