Les techniques les plus simples sont parfois les plus dangereuses. Zuk Avraham, chercheur en cybersécurité et spécialiste des systèmes mobiles, vient de partager publiquement sur Twitter une technique redoutable qui permettrait à un hacker de pirater un compte WhatsApp.
Une attaque via la messagerie vocale
La procédure partagée par Zuk nécessite que le propriétaire du compte WhatsApp soit en train de dormir. Pourquoi ? Car, habituellement, les utilisateurs de smartphone éteignent leur appareil avant le coucher ou activent le mode avion. Les appels téléphoniques sont ainsi coupés, redirigeant ceux-ci sur la messagerie vocale. Pour accéder à votre compte, un hacker potentiel pourrait n’avoir qu’à composer votre numéro de téléphone pour se connecter. Un SMS est envoyé, mais le téléphone étant hors connexion, ce message reste en attente. Le pirate effectue donc un nouvel essai en utilisant la vérification par appel de WhatsApp.
Le service automatique appelle votre numéro et laisse un message, avec le numéro d’identification, sur votre répondeur. Le hacker peut ensuite accéder à ce dernier au simple moyen de la messagerie à distance. La plupart des opérateurs proposent un service pour consulter ces messages vocaux à distance. Seuls le numéro de portable et un code secret sont demandés pour accéder au répondeur. Or, le code secret est souvent un numéro à quatre chiffres, parfois composé par défaut des quatre derniers du numéro de téléphone (à l’étranger du moins). L’accès à la messagerie est ainsi facilité au pirate qui peut ensuite écouter le message, noter le code WhatsApp et accéder à votre compte.
Une fois le compte piraté, “le processus de récupération d’un compte WhatsApp prend plusieurs jours”. Pendant ce temps, le pirate peut tenter d’escroquer vos contacts ou de diffuser des logiciels malveillants au sein de vos conversations.
Pour éviter de subir ce type d’attaque, Zuk Avraham recommande de changer son code de messagerie vocale et de paramétrer une authentification supplémentaire dans WhatsApp, par email notamment. Une attaque simple, mais redoutable qui pourrait bien avoir déjà été utilisée par des pirates mal intentionnés.