in

Un échec WhatsApp permet de bloquer le compte de n’importe quel utilisateur en 5 minutes

Tous les comptes WhatsApp sont en danger en raison d’une simple faille de sécurité. Vous pouvez donc l’éviter.

Des chercheurs spécialisés en cybersécurité, Luis Márquez Carpintero et Ernesto Canales Pereña, ont découvert un méthode qui permet de bloquer l’accès à n’importe quel compte WhatsApp, grâce à un processus qui ne prend pas beaucoup plus que cinq minutes. Tout cela est dû à un vulnérabilité découverts sur la plateforme, ce qui pourrait toucher des millions de personnes dans le monde.

Comme l’expliquent les chercheurs à Forbes, les attaquants il leur suffirait de connaître le numéro de téléphone de leurs victimes pour mener à bien l’attaque. Et étant donné que Facebook lui-même a rendu publics les numéros de téléphone de plus d’un demi-million de personnes, il ne devrait pas être trop difficile pour ces attaquants de trouver leurs numéros cibles.

WhatsApp, icône.

L’icône de l’application WhatsApp.

Qu’est-ce que la vulnérabilité?

le processus de vérification à deux facteurs que WhatsApp active par défaut lors de la création d’un compte dans le service est l’un des éléments les plus faibles de l’application, car le facteur humain entre en jeu et les attaquants peuvent en profiter pour accéder aux comptes de leurs victimes.

Le fonctionnement de ce système est simple: lorsque vous téléchargez l’application WhatsApp sur un mobile, il vous est demandé de saisir le numéro de téléphone et, plus tard, un code reçu par SMS pour vérifier le compte. Si le code est correct, l’application demandera le code de vérification à deux facteurs pour identifier l’utilisateur.

Cependant, n’importe qui peut entrer le numéro de téléphone de quelqu’un d’autre lors de l’installation de WhatsApp sur un appareil. Lorsqu’un attaquant a pour objectif de bloquer le compte de sa victime, il entre dans le nombre de cela, en demandant le code de vérification qui vous permet de vérifier le compte.

Mais depuis ledit compte est ouvert sur le mobile de sa victime, Il commencera à recevoir des codes de vérification et des notifications indiquant qu’il tente de se connecter sur un autre appareil. La chose la plus logique serait ignorer ces notifications, non?

Le problème est que, lorsqu’un certain nombre de codes a été demandé en peu de temps, WhatsApp bloquera la tentative d’accès au compte pendant 12 heures, empêchant de nouvelles tentatives de connexion. Ceci, en principe, ne devrait pas être un problème pour la victime À moins que vous ne décidiez de vous déconnecter de votre compte – par exemple, pour changer de mobile.

Mais c’est à ce moment-là que l’attaquant effectuerait le dernière étape dans votre objectif de bloquer le compte de votre victime. Pour ce faire, il suffit envoyer un e-mail au compte d’assistance WhatsApp, demandant la clôture du compte, alléguant qu’il aurait pu être volé. Ce message contient le numéro de téléphone de la victime.

Compte WhatsApp supprimé

L’e-mail avec lequel WhatsApp prétend avoir suspendu le compte d’un utilisateur.

Peu de temps après, un email généré automatiquement par WhatsApp est reçu par l’attaquant, indiquant que Le compte WhatsApp a été suspendu avec succès. Et peu de temps après, la victime voit comment votre compte WhatsApp a été supprimé de votre mobile, et vous ne pouvez plus utiliser l’application de messagerie.

En essayant retourner à connecter, la victime voit comment il y a restriction qui empêche de recevoir de nouveaux codes de vérification avant 12 heures, en raison du bombardement des tentatives de connexion effectuées par l’attaquant il y a quelques minutes. Et si vous essayez de saisir l’un des codes précédemment reçus par SMS, le compteur horaire continuera d’augmenter.

Ici, ce qui semble être un bogue de whatsapp. Et est-ce que lorsque vous essayez de vous connecter au compte alors qu’il a déjà été essayé et que les tentatives ont été bloquées pendant 12 heures, WhatsApp peut afficher le texte «Vous avez essayé de vous connecter trop souvent. Veuillez réessayer dans -1 seconde « . Désormais, un désastre est pratiquement inévitable et attendre que l’application autorise un nouveau test du nouveau code est tout simplement inutile. Il ne reste plus qu’à essayer de contacter le support technique de WhatsApp à la recherche d’une solution.

Malheureusement, WhatsApp ne semble pas avoir l’intention de mettre une solution efficace à ce problème. Ils allèguent que « les circonstances identifiées par les enquêteurs enfreindraient les conditions de service », mais je doute que ce soit un problème pour les futurs attaquants, car ils n’ont même pas besoin d’avoir numéro de téléphone ou carte SIM associé au mobile avec lequel l’attaque sera menée: avoir juste une connexion Wi-Fi et un mobile avec WhatsApp téléchargé.

L’un des moyens d’essayer de se débarrasser de ces types d’attaques est de activer le système de vérification en deux étapes dans WhatsApp et associer une adresse e-mail. Cela pourrait faciliter les choses lorsque vous essayez de récupérer votre compte. Ou sinon, vous pouvez également faire comme Mark Zuckerberg et passer à une alternative plus sûre, comme SIgnal

Rubriques connexes: Applications, WhatsApp

45secondes est un nouveau média, n’hésitez pas à partager notre article sur les réseaux sociaux afin de nous donner un solide coup de pouce. ?