Un chercheur vient de trouver une étonnante faille de sécurité dans WhatsApp. Son astuce permet de contourner l'authentification lorsque le smartphone de la victime est en mode avion ou éteint. Et ainsi de pirater son compte !

Les développeurs d'applications et les hackers sont sans cesse en train de faire la course afin de trouver une éventuelle faille dans les API : les uns pour les corriger, les autres pour les exploiter. Et, parfois, les manœuvres les plus simples sont les meilleures. Zuk Avraham, un chercheur en cybersécurité et spécialiste des systèmes mobiles, a dévoilé sur Twitter avoir découvert une technique facile à mettre en œuvre, et pourtant redoutable, afin de prendre le contrôle de l'application lorsque le smartphone de la victime est éteint ou en mode avion – lorsqu'elle va se coucher par exemple. La clé du "succès" ? Son répondeur téléphonique.

Piratage WhatsApp : une attaque via la messagerie vocale

Généralement, quand une personne dort, elle éteint son smartphone ou le met en mode avion afin que les appels téléphoniques ne la réveillent pas. De ce fait, ces derniers sont automatiquement redirigés sur la messagerie vocale. Et c'est à ce moment-là, lorsque la victime laisse tomber ses barrières et s'abandonne aux bras de Morphée, que le pirate peut frapper. Selon la méthode découverte par Zuk Avraham, il va composer le numéro de la personne afin de se connecter au compte WhatsApp de cette dernière. La plateforme va donc envoyer un SMS de vérification mais, comme le smartphone est hors connexion, le message va rester en attente. Le hacker va donc effectuer un nouvel essai, mais en demandant cette fois-ci une vérification par appel. Comme le téléphone est toujours indisponible, le service WhatsApp va laisser un message vocal sur la messagerie de l'utilisateur contenant le numéro d'identification. Et là, c'est le drame.

La plupart des opérateurs proposent un service pour consulter ces messages vocaux à distance. Pour y accéder, il faut donner un code secret à quatre chiffres. Or, dans certains pays, ce code est composé par défaut des quatre derniers chiffres du numéro de téléphone. Le pirate n'a qu'à tenter sa chance et récupérer le numéro d'identification de WhatsApp pour accéder au compte. Le scénario est d'autant plus inquiétant que la plateforme a fait l'objet d'une fuite massive en novembre 2022, avec le vol des données téléphoniques de près de 500 millions de personnes, dont plus de 20 millions de Français, qui ont depuis été mises en vente sur le Dark Web. C'est pourquoi il est important de changer son code de messagerie vocale par défaut et d'activer l'authentification à double facteur (2FA), d'autant plus que, lorsqu'un compte WhatsApp est piraté, le processus de récupération peut prendre plusieurs jours, ce qui laisse tout le temps au pirate d'escroquer les contacts et/ou de diffuser des malwares. Il ne reste plus qu'à espérer que Meta corriger vite cette faille.