Une faille de sécurité unique et inquiétante dans WhatsApp permet à quiconque de bloquer votre compte dans ce service tant qu’il connaît votre numéro de téléphone.
Le problème n’est pas une faille interne dans le code de WhatsApp, mais une erreur inquiétante dans la façon dont le service verrouille les comptes. L’attaquant ne lira pas vos messages mais vous laissera sans accès à l’application de messagerie populaire sans que vous sachiez ce qui s’est passé.
Un problème dans WhatsApp qui peut causer beaucoup de maux de tête
Le mécanisme est simple. L’attaquant installe WhatsApp sur un nouveau téléphone mobile et entre votre numéro pour activer le service. Ils ne peuvent pas le vérifier, car cette clé atteint votre numéro de téléphone.
Comme il a utilisé votre numéro de téléphone, il entre plusieurs clés de vérification aléatoires qui échouent et après plusieurs tentatives, l’application ne permet pas à l’attaquant de saisir de nouveaux codes à six chiffres pour valider ce compte pendant 12 heures.
Pour la victime, tout continuera à fonctionner pour le moment, mais c’est là que la partie intéressante entre en jeu: lorsque ce compte est bloqué, l’attaquant envoie un e-mail (à partir d’une adresse jetable, par exemple, un nouveau compte Gmail) à WhatsApp adresse de support. Dans ce message, il suffit de leur dire que votre téléphone portable a été volé ou perdu et que le service doit être désactivé.
La seule chose que fait WhatsApp ici est de croire que l’identité de l’attaquant est légitime dans un processus automatisé qui ne nécessite aucune action supplémentaire, le service le prend simplement pour acquis et le processus se termine avec l’objectif atteint: votre compte WhatsApp est suspendu sans autre action. L’attaquant peut répéter le processus plusieurs fois pour vous empêcher d’utiliser l’application normalement.
Cette faille de sécurité peut entraîner le blocage de votre compte
Vous devez attendre la fin de la période de 12 heures que l’attaquant avait initiée en échouant le code de vérification. À partir de ce moment, vous pouvez réactiver le compte, mais vous devrez continuer à essayer sans savoir quand ces 12 heures seront terminées.
Même si cette faille de sécurité ne donne pas accès à nos messages ou contacts, tout attaquant avec notre numéro de téléphone peut nous causer de nombreux désagréments. Les responsables de WhatsApp et Facebook ne semblent pas envisager de solution possible pour le moment.
