WhatsApp : n’importe qui peut suspendre votre compte avec votre numéro de téléphone
Si vous utilisez fréquemment l’application WhatsApp, nous vous conseillons de garder l’œil ouvert. Une faille de sécurité découverte ce week-end permet à n’importe qui de suspendre complètement votre compte WhatsApp, sans que vous n’ayez aucun recours.
Nouveau pépin pour WhatsApp. Après le scandale du changement de la politique de confidentialité, voilà qu’une nouvelle faille de sécurité vient entacher le service. Le problème est de taille, puisque n’importe qui peut suspendre votre compte du moment qu’il possède votre numéro de téléphone.
Pas un piratage, mais simplement un bloquage de compte
Cette faille nouvellement découverte utilise deux vecteurs distincts. La personne malveillante installe WhatsApp sur un nouvel appareil, et entre votre numéro pour activer le service. L’application de discussion ne peut pas vérifier à 100 %, car bien sûr, le système d’authentification à deux facteurs envoie les invites de connexion à votre smartphone à la place. Après plusieurs tentatives répétées et infructueuses, votre connexion est verrouillée pendant 12 heures.
Jusqu’ici, rien d’anormal. Mais c’est là que le bât blesse : une fois votre compte verrouillé, l’attaquant envoie un message d’assistance à WhatsApp à partir de son adresse e-mail, affirmant que son votre téléphone a été perdu ou volé, et que le compte associé à votre numéro doit être désactivé. WhatsApp « vérifie » cela avec un e-mail, et suspend votre compte sans aucune intervention de votre part. L’attaquant peut répéter le processus plusieurs fois de suite pour créer un verrou semi-permanent sur votre compte.
Voir aussi : WhatsApp va enfin permettre la migration entre iPhone et Android
Cette faille majeure de l’application a été remarquée par Luis Márquez Carpintero et Ernesto Canales Pereña ce week-end, puis signalée par Forbes. Si le constat est inquiétant, rien de permet aujourd’hui à la personne malveillante d’accéder au compte d’un utilisateur. Il peut simplement bloquer l’accès à son propriétaire légitime. Les messages texte et contacts confidentiels ne sont pas exposés.
WhatsApp — qui appartient à Facebook — avertit que l’utilisation de cette vulnérabilité viole ses conditions d’utilisation. En revanche, rien n’indique à ce jour que le service travaille pour résoudre ce problème. Tout ça, alors qu’un malware Android se faisant passer pour Netflix se propage sur WhatsApp. Décidément, rien ne va plus pour l’app de messagerie.