La messagerie appartenant à Facebook fait l’objet d’une fraude qui permet de priver ses utilisateurs de leur compte, en mettant à profit leur numéro de téléphone.
Elle est un savant mélange de double authentification et de course contre la montre. Une technique découverte par deux chercheurs en sécurité, cités par Forbes, permet de mettre la main sur des comptes WhatsApp, sans réel recours possible de la part de leurs détenteurs.
Deux étapes
Comment? Le procédé se déroule en deux étapes, qui misent chacune sur un point faible de l’application aux deux milliards d’utilisateurs. Lors de la création d’un compte WhatsApp, ou de son installation sur un nouveau téléphone, le réseau propose d’activer la vérification en deux étapes, qui permet de sécuriser son compte par l’envoi d’un SMS sur son téléphone.
Un code à six chiffres, contenu dans ce SMS, est nécessaire pour activer l’application. Des petits malins peuvent néanmoins miser sur une stratégie dite de force brute pour générer ces mêmes codes. Il leur suffit pour cela d’entrer le numéro de téléphone du compte qu’ils souhaitent récupérer. L’utilisateur du compte recevra donc une série de SMS sur son téléphone portable… jusqu’à ce que WhatsApp bloque ce système, après un trop grand nombre de tentatives autorisées.
Le problème: les restrictions auxquelles sont soumis les pirates s’appliquent également au détenteur du compte. Résultat, l’envoi de SMS par WhatsApp est bloqué pendant 12 heures. Aux hackers de passer désormais à la seconde étape, durant ces mêmes 12 heures: l’envoi d’un mail à l’adresse support@whatsapp.com, faisant mention d’un compte perdu ou volé. L’idée étant de désactiver le numéro de téléphone associé au compte WhatsApp en question. L’envoi de SMS étant bloqué, la réponse se fera par mail, le compte étant désormais lui aussi temporairement bloqué.
Trois essais
Dès lors, et sans raison apparente, l’utilisateur recevra une notification, comportant le message suivant: “Votre numéro de téléphone n’est plus enregistré avec WhatsApp sur ce téléphone. Cela peut être dû au fait que vous l’avez enregistré sur un autre téléphone. Si vous ne l’avez pas fait, vérifiez votre numéro de téléphone pour vous reconnecter à votre compte.”
WhatsApp peut alors demander à entrer une nouvelle fois son numéro de téléphone. Mais le blocage des SMS vaut toujours: aucun SMS ne parvient à l’utilisateur, si ce n’est un message sur WhatsApp indiquant qu’il faut encore patienter.
Au bout des 12 heures, et si le pirate souhaite réellement bloquer un compte, il lui suffit de réitérer l’opération. Au bout de trois périodes de 12 heures, et si le détenteur du compte WhatsApp s’avère moins réactif que ses pirates, le compte sera complètement désactivé car considéré par l’application comme un compte frauduleux.
Contacté par Forbes, WhatsApp a reconnu le problème sans y apporter pour l’heure de solution. WhatsApp propose néanmoins à ses utilisateurs de “fournir une adresse e-mail au moment de la vérification en deux étapes” pour aider l’équipe d’assistance. Ce qui semble bien dérisoire.
source : bfmtv