Un chercheur en cybersécurité révèle comment outrepasser l’authentification sur WhatsApp, lorsque le téléphone est en mode avion ou éteint. Une attaque simple, mais rudement efficace.
Les techniques les plus simples sont parfois les plus dangereuses. Zuk Avraham, chercheur en cybersécurité et spécialiste des systèmes mobiles, vient de partager publiquement sur Twitter une technique redoutable qui permettrait à un hacker de pirater un compte WhatsApp.
Une attaque via la messagerie vocale
La procédure partagée par Zuk nécessite que le propriétaire du compte WhatsApp soit en train de dormir. Pourquoi ? Car, habituellement, les utilisateurs de smartphone éteignent leur appareil avant le coucher ou activent le mode avion. Les appels téléphoniques sont ainsi coupés, redirigeant ceux-ci sur la messagerie vocale. Pour accéder à votre compte, un hacker potentiel pourrait n’avoir qu’à composer votre numéro de téléphone pour se connecter. Un SMS est envoyé, mais le téléphone étant hors connexion, ce message reste en attente. Le pirate effectue donc un nouvel essai en utilisant la vérification par appel de WhatsApp.
Le service automatique appelle votre numéro et laisse un message, avec le numéro d’identification, sur votre répondeur. Le hacker peut ensuite accéder à ce dernier au simple moyen de la messagerie à distance. La plupart des opérateurs proposent un service pour consulter ces messages vocaux à distance. Seuls le numéro de portable et un code secret sont demandés pour accéder au répondeur. Or, le code secret est souvent un numéro à quatre chiffres, parfois composé par défaut des quatre derniers du numéro de téléphone (à l’étranger du moins). L’accès à la messagerie est ainsi facilité au pirate qui peut ensuite écouter le message, noter le code WhatsApp et accéder à votre compte.