WhatsApp est l’application de chat la plus populaire au monde, avec plus de 2 milliards d’utilisateurs échangeant des textes cryptés de bout en bout et passant des appels sur la plate-forme. Comme la plupart des applications de messagerie instantanée, WhatsApp est disponible sur iOS et Android. La différence entre WhatsApp et ses concurrents est que le cryptage fort est activé par défaut, tout comme dans iMessage et Signal. La forte sécurité de l’application ne sera pas compromise par le changement de politique controversé que Facebook a dû reporter au mois de mai après que les gens se sont afflués vers des services concurrents au début de 2021.

La sécurité de l’application ne s’applique pas uniquement aux chats et aux appels. WhatsApp a également mis en place des mesures pour empêcher quiconque d’accéder à votre compte. Il n’y a pas de nom d’utilisateur ni de mot de passe dans WhatsApp, car le numéro de téléphone unique fonctionne comme connexion. Pour qu’une personne puisse accéder à vos conversations, elle aurait besoin d’un accès direct à votre téléphone – même dans ce cas, vous pouvez protéger les discussions avec des données biométriques ou des mots de passe. Mais il s’avère qu’il existe un «piratage» que des individus malveillants utilisent pour infiltrer l’application. Tant qu’un attaquant connaît votre numéro, il pourrait potentiellement vous exclure de vos discussions. La bonne nouvelle est que le processus n’est pas seulement lourd; c’est aussi la plupart du temps inutile.

Tout d’abord signalé par Forbes (via The Next Web), l’ensemble du processus prend environ 36 heures grâce aux fonctionnalités de sécurité de WhatsApp qui sont en place pour protéger les utilisateurs. Pour déclencher l’attaque, le pirate devrait installer WhatsApp et essayer de se connecter à l’aide de votre numéro en demandant des codes d’authentification.

WhatsApp continuera d’envoyer des codes à l’utilisateur, mais bloquera le processus de vérification pendant 12 heures après un certain nombre de tentatives. Les cibles n’auraient aucun moyen de savoir que le piratage est en cours, mais elles devraient être alarmées par un grand nombre de codes de vérification qui arrivent.

L’attaquant doit alors configurer une adresse e-mail et envoyer «une demande de téléphone perdu / volé» à WhatsApp pour désactiver votre compte. WhatsApp vous bloquera alors hors de l’application. Vous devriez pouvoir restaurer l’accès à WhatsApp à ce stade. L’attaquant doit alors répéter deux fois le cycle de 12 heures. Une fois que c’est fait, l’attaquant et la cible verront le même message «Réessayer après -1 seconde» lors de la tentative de connexion. La cible devra contacter le support WhatsApp pour récupérer son compte à ce stade.

En fin de compte, l’attaquant n’a pas accès à votre compte et, au mieux, peut vous bloquer hors de vos discussions pendant quelques jours. WhatsApp est au courant de l’attaque et a déclaré dans un communiqué que “fournir une adresse e-mail avec votre vérification en deux étapes aide notre équipe de service client à aider les gens s’ils rencontrent ce problème improbable.”

Vous devriez envisager d’utiliser la vérification en deux étapes pour augmenter votre sécurité WhatsApp, surtout si vous avez été ciblé par une telle attaque. La bonne nouvelle est que vous saurez que quelqu’un essaie de vous verrouiller dès que vous commencez à recevoir des SMS de WhatsApp avec des codes de vérification que vous n’avez jamais demandés. Si cela se produit, vous devriez essayer de contacter WhatsApp vous-même et les avertir que vous pourriez être la cible d’une attaque. Le pirate informatique aurait encore besoin de 36 heures pour vous exclure de votre compte, ce qui vous laisse suffisamment de temps pour réagir.

Pourtant, le problème de vulnérabilité que les chercheurs Luis Márquez Carpintero et Ernesto Canales Pereña ont découvert ne devrait pas exister, et WhatsApp devrait trouver des moyens d’empêcher ces attaques de se produire. Selon Forbes, WhatsApp ne confirmerait pas son intention de résoudre le problème afin d’éviter de futurs abus. WhatsApp prévoit d’apporter un accès multi-appareils à l’application, auquel cas il devra concevoir un moyen pour un utilisateur d’autoriser plusieurs appareils en toute sécurité. La correction de la faille de sécurité décrite ci-dessus pourrait être un effet secondaire d’un nouveau processus de vérification pour une utilisation multi-périphérique de WhatsApp, mais ce n’est que de la spéculation pour le moment.

Si vous pensez que quelqu’un a une raison de cibler votre compte WhatsApp, vous devriez envisager d’installer des services supplémentaires, tels que Signal et Telegram. Le premier offre un cryptage de bout en bout par défaut. Ce dernier vous permet d’activer la fonctionnalité sur une base par chat, mais il propose également un outil pour importer facilement tous vos chats WhatsApp. Les utilisateurs d’iPhone ont également accès à iMessage, l’application de chat et SMS par défaut du téléphone.

