En connaissant le numéro de téléphone d’un utilisateur, quiconque peut lui suspendre son compte sur le célèbre service de messagerie.
Une importante faille de sécurité a été découverte sur WhatsApp par Jake Moore, chercheur en sécurité informatique chez l’entreprise ESET, rapporte Forbes.
Elle concerne la double authentification avec l’envoi d’un code de sécurité par SMS. Quiconque exploitant cette brèche peut bloquer indéfiniment le compte d’un autre utilisateur. Il lui suffit de connaître son numéro de téléphone et de suivre une procédure d’attaque.
Elle est constituée de plusieurs étapes, dont la première consiste à configurer WhatsApp sur un autre smartphone avec le numéro de téléphone de la victime. Cette dernière recevra un SMS avec un code de vérification qu’elle va probablement ignorer.
Le pirate entrera à plusieurs reprises des codes erronés et, une fois le nombre de tentatives autorisées dépassé, le système bloque automatiquement l’envoi de codes pour une durée de douze heures. Pendant ce laps de temps, l’attaquant aura pris soin de créer une nouvelle adresse e-mail et de contacter le support de WhatsApp pour demander la désactivation de son soi-disant compte en prétextant le vol ou la perte de son smartphone.
Pas de vérification
Le problème réside dans le fait que WhatsApp ne procède à aucune vérification pour désactiver le compte. La victime, qui sera dès lors déconnectée, ne pourra pas s’identifier de nouveau via l’authentification à deux facteurs puisque l’envoi de codes est momentanément bloqué. Le pirate, de son côté, pourra continuer à répéter son stratagème pour nuire à la victime en lui bloquant indéfiniment son compte.
Contacté par le magazine «Forbes», WhatsApp a reconnu le problème mais estime que ce type d’attaque est plutôt rare. Il indique qu’il viole ses conditions d’utilisation et promet de sévir en cas d’abus. L’entreprise aux plus de 2 milliards d’utilisateurs ne précise par contre pas si elle prendra des mesures pour le corriger. Elle conseille seulement de fournir une adresse e-mail au moment de la vérification en deux étapes.
(man)
