Votre compte WhatsApp peut être détourné via une astuce simplissime

Actualités
Par Sead Fadilpašić
publié

Vos discussions et vos contacts WhatsApp pourraient être accessibles à votre insu, en détournant l’envoi de codes de vérification.

WhatsApp sur iPhone
(Crédit photo: Pexels / Torsten Dettlaff)

Des experts en sécurité informatique ont découvert une nouvelle méthode permettant à des cybercriminels avisés de détourner presque tous les comptes WhatsApp existants aujourd’hui et d'accéder à tous les messages et aux listes de contacts de l'application.

Rahul Sasi, fondateur et PDG de la société de protection contre les risques numériques CloudSEK, affirme qu’un pirate spécialisé dans les attaques mobiles peut prendre le contrôle de votre compte WhatsApp de deux façons distinctes. En utilisant le transfert d'appel automatisé que certains services mobiles proposent, ou en exploitant l'envoi des codes de vérification / mot de passe à usage unique (OTP) par appel vocal.

Pour réussir ce tour de force, le hacker doit d'abord persuader la victime d'appeler un numéro commençant par un code d'interface homme-machine (IHM). Ce numéro s’avère généralement configuré par l'opérateur mobile et est utilisé pour activer le transfert d'appel.

Pas aussi facile qu'il n'y paraît

Ledit numéro commence par une étoile ou un symbole dièse. Selon CloudSEK, ces codes sont faciles à trouver et la plupart des grands opérateurs de réseaux mobiles les prennent en charge.

En appelant ce numéro, tous les appels ultérieurs sont redirigés vers le terminal appartenant au cybercriminel. Après cela, le processus se révèle relativement facile, car l'attaquant peut lancer le processus d'enregistrement de WhatsApp sur son appareil, et recevoir l'OTP par appel vocal.

En mettant l'idée à l'épreuve, BleepingComputer a constaté que le processus s’exécute sans encombre, mais avec quelques réserves. Tout d'abord, le hacker doit inciter la victime à utiliser un code MMI qui transfère tous les appels, et pas seulement ceux qui sont effectués lorsque la ligne se veut occupée. 

Ensuite, il doit s'assurer que la cible est occupée suffisamment longtemps pour manquer la notification l'informant que son application WhatsApp a été enregistrée sur un autre appareil.

En outre, si la victime a déjà activé le transfert d'appel, les attaquants doivent utiliser un numéro de téléphone différent, ce qui représente "un léger contretemps qui pourrait nécessiter davantage d'ingénierie sociale". 

La méthode fonctionne auprès de plusieurs opérateurs mobiles, confirment nos lanceurs d’alerte.

Via BleepingComputer

Sead Fadilpašić
Sead Fadilpašić

Sead is a seasoned freelance journalist based in Sarajevo, Bosnia and Herzegovina. He writes about IT (cloud, IoT, 5G, VPN) and cybersecurity (ransomware, data breaches, laws and regulations). In his career, spanning more than a decade, he’s written for numerous media outlets, including Al Jazeera Balkans. He’s also held several modules on content writing for Represent Communications.