Cette faille permet de couper l'accès à un compte WhatsApp avec un simple numéro de téléphone

Une technique découverte par deux chercheurs en sécurité permet à n’importe qui de désactiver le compte d’un utilisateur grâce au détournement du système d’identification à deux facteurs. WhatsApp n’a pas encore confirmé son intention de corriger la faille, indique Forbes.
Sputnik

WhatsApp semble encore une fois dans la tourmente. Sous le feu des critiques pour avoir demandé à ses quelque deux milliards d'utilisateurs d'accepter de nouvelles conditions d'utilisation lui permettant de partager plus de données avec sa maison-mère Facebook, l’application recèle un autre danger. Il s’agit d’une faille de sécurité permettant à un tiers de bloquer des comptes, laquelle a été découverte par deux chercheurs en cybersécurité.

Comme le rapporte Forbes, WhatsApp propose à ses utilisateurs de s’identifier en introduisant un code reçu par SMS. Mais il est assez facile de corrompre cette méthode pour bloquer un compte.

Selon le média, il ne s’agit pas de pirater ni d’exploiter cette faille avec des outils informatiques mais plutôt de nuire à quelqu’un.

Une attaque en deux étapes

D’après les chercheurs, il suffirait de tenter de se connecter à la messagerie en renseignant le numéro de téléphone de la personne visée.

Ceci aurait pour effet de déclencher l’envoi d’un code par SMS au numéro renseigné. À chaque tentative de connexion, des SMS sont envoyés jusqu'à ce que WhatsApp bloque le système durant 12 heures parce que le nombre de tentatives autorisées a été dépassé.

Ensuite, lorsque le compte est bloqué, la personne malveillante pourra contacter le support de l’application de messagerie par mail en prétextant le vol de son smartphone et demander à désactiver le numéro lié à ce compte. 

Par mesure de sécurité, ce dernier sera suspendu sans que le véritable propriétaire ne puisse faire quoi que ce soit.

D’après Forbes, cette vulnérabilité ne permet pas d’accéder au compte en lui-même. Sa confidentialité est donc préservée. 

Contacté par le média, un porte-parole a indiqué que «fournir une adresse électronique dans le système d’identification en deux étapes aide notre service clients à porter assistance aux usagers si jamais ils étaient confrontés à ce problème peu probable». De plus, il a appelé à contacter les services officiels par mail en cas de besoin d’aide. Cependant, WhatsApp n’a pas confirmé son intention de corriger la faille, indique Forbes.

La modification des règles

En janvier 2020, WhatsApp a annoncé son intention de partager davantage de données personnelles d’utilisateurs avec sa maison-mère Facebook. La messagerie a proposé à ses utilisateurs d’accepter ces règles pour rester en droit de l’utiliser après le 8 février 2021.

Suie à cette annonce, de nombreux utilisateurs ont quitté la messagerie, préférant s’inscrire sur des services concurrents comme Telegram ou Signal. Telegram a alors battu des records d’inscription.

Face au tollé, WhatsApp a reporté l’entrée en vigueur des nouvelles règles au 15 mai.

Discuter