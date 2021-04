Une faille de sécurité singulière et inquiétante dans WhatsApp autoriser quiconque à bloquer votre compte sur ce service. Tout ce dont vous avez besoin est de connaître votre numéro de téléphone portable.

Le problème n’est pas une faille interne dans le code de WhatsApp, mais plutôt un bogue inquiétant dans la façon dont le service verrouille les comptes. L’attaquant ne lira pas vos messages, mais vous laissera sans accès à l’application de messagerie populaire sans que vous sachiez ce qui s’est passé.

Un problème qui peut causer beaucoup de maux de tête

Le mécanisme est simple. L’attaquant installe WhatsApp sur un nouveau mobile et entrez votre numéro pour activer le service. Ils ne peuvent pas le vérifier, car cette clé atteint votre numéro de téléphone mobile.

Puisque vous avez utilisé votre numéro de mobile, entrez plusieurs clés de vérification aléatoires qui échouent et qui font qu’après plusieurs tentatives, WhatsApp ne permet pas à l’attaquant d’entrer de nouveaux codes à six chiffres pour valider ce compte pendant 12 heures.

Pour la victime, tout continuera à fonctionner pour le moment, mais c’est là que vient la chose intéressante: lorsque ce compte est bloqué, l’attaquant envoie un email (depuis une adresse jetable, par exemple un nouveau compte Gmail) à l’adresse de support WhatsApp . Dans ce message, il suffit de dire que votre mobile a été volé ou perdu et qu’il a besoin que le service soit désactivé.

La seule chose que WhatsApp fait ici est de croire que l’identité de l’attaquant est légitime dans un processus automatisé qui ne nécessite pas d’actions supplémentaires: le service le prend simplement pour acquis et le processus se termine avec l’objectif atteint: votre compte WhatsApp est suspendu sans plus tarder. L’attaquant peut répéter le processus plusieurs fois pour rendre presque impossible l’utilisation normale de WhatsApp à la fin.

En fait, vous ne le savez pas, mais vous devez attendre la fin de la période de 12 heures pendant laquelle l’attaquant avait commencé en échouant dans le code de vérification. À partir de ce moment, vous pouvez réactiver le compte, mais vous devrez essayer sans savoir quand ces 12 heures se terminent réellement, et une fois le service récupéré nous serons à nouveau exposés à l’attaquant répétant l’opération encore et encore.

Le problème a été révélé comme preuve de concept par deux chercheurs espagnols, Luis Márquez Carpintero et Ernesto Canales Peña. Bien que cela ne donne pas accès à nos messages ou contacts, tout attaquant avec notre numéro de mobile peut nous causer beaucoup de désagréments, surtout si nous sommes des utilisateurs intensifs de WhatsApp.

Les responsables de WhatsApp et Facebook pour le moment ne semblent pas évaluer une solution possible – ce qui ne semble pas particulièrement difficile. Dans les commentaires à Forbes ils ont minimisé le problème, qui existe certainement et peut causer pas mal de maux de tête.

Via | Forbes