Actualités

“Un piratage inquiétant qui pourrait avoir un impact sur des millions d’utilisateurs” : quand une faille sous WhatsApp permet de bloquer le compte-utilisateur !

Relayés dans un article de Forbes, les propos des chercheurs ESET inquiètent : une vulnérabilité a été mise à nue et permettrait de bloquer le compte-utilisateur sous WhatApp ; malgré la double-authentification…

 

 

“Il s’agit d’un autre piratage inquiétant qui pourrait avoir un impact sur des millions d’utilisateurs susceptibles d’être ciblés par cette attaque. Avec autant de personnes qui utilisent WhatsApp comme principal outil de communication à des fins sociales et professionnelles, il est alarmant de voir à quel point cela peut se produire […] N’importe qui peut saisir un numéro de téléphone pour localiser le compte associé s’il existe. Dans l’idéal, une évolution vers une plus grande concentration sur la confidentialité aiderait à protéger les utilisateurs contre cela, et à forcer les gens à mettre en œuvre un code PIN de vérification en deux étapes” explique Jake Moore, qui fait partie de l’équipe ESET avec ses acolytes qui ont mis en œuvre le PoC, Luis Márquez Carpintero et Ernesto Canales Pereña. Tout comme Telegram, entre-autres, WhatsApp permet, une fois installée, d’entrer un code d’authentification pour jointer le numéro de téléphone du terminal mobile avec ledit code. Si une personne malveillante tente, à répétition, d’entrer le fameux code, au bout d’un certain nombre de tentatives, le compte se bloque pendant 12 heures ; que cela soit pour les SMS que pour les codes de vérification. La supercherie apparaît alors quand l’utilisateur légitime réinitialise le code est constate qu’il ne pourra plus se reconnecter, depuis son terminal mobile.

 

Autre point : lorsque la première faille décrite ci-dessus est opérée, une seconde phase de cyber-attaque peut se mettre, alors en route : la désactivation définitive du numéro de téléphone qui est resté en attente ou bloqué. Pour se faire, le cyber-attaquant envoi un mail au support de WhatsApp en demandant de désactiver, tout simplement, le numéro de téléphone pour une raison certaine (perte, vol…). Comme l’éditeur n’a pas mis en place un système de re-vérification pour être sûr que la demande est belle et bien issue de l’utilisateur légitime, la procédure est enclenchée sans travail de fond à ce niveau. Dans le PoC, il est indiqué que cela, en tout et pour tout, concernant cette seconde vulnérabilité, prend environ une heure… et ce, même avec la double-authentification. Une fois le numéro de téléphone dissocier du compte, il faudra , pour réactiver l’ensemble, contacter le support-client pour expliquer la situation et tenter d’associer, à nouveau, le compte.

 

Côté utilisateur l’accès à son compte est désactivé : les demandes multiples ont désactivés – pendant 12 heures – tout tentative de reconnexion potentielle (en vain mais sans que l’on puisse le savoir) et les codes reçus entre-temps (avant la désactivation-compte et émanant des demandes du cyber-attaquant) ne sont pas ou plus valides. Une situation assez surréaliste et déstabilisante qui, en toute logique malheureusement, n’a même pas besoin de nécessiter le support-client WhatsApp : en effet, il suffit d’envoyer pleins de code – volontairement – en vain pour bloquer le compte. De là l’application explique que l’utilisateur a “deviné trop de fois”. Lorsque cette faille ou sa boucle (horloge) est répétée trois fois, c’est WhatsApp qui fait chou blanc en indiquant “-1 seconde” au lieu de “12 heures”.

 

En prévention ou résolution, il serait recommandé, pour l’éditeur, d’identifier spécifiquement le terminal mobile en tant qu’appareil de confiance pour limiter les risques de détournement au niveau de la double-authentification. “Fournir une adresse e-mail avec votre vérification en deux étapes aide notre équipe du service client à aider les gens s’ils rencontrent ce problème improbable. Les circonstances identifiées par ce chercheur enfreindraient nos conditions d’utilisation et nous encourageons toute personne ayant besoin d’aide à envoyer un e-mail à notre équipe d’assistance afin que nous puissions enquêter“, a indiqué un porte-parole de Whats-App qui souligne donc le caractère illégal de ce type d’action sans pour autant, pour l’heure, corriger cette vulnérabilité. Il est conseillé d’activer, quand même, la double-authentification avec l’association d’une adresse-mail pour éviter de telles dérives ; dans l’attente éventuelle d’un patch correctif… A veiller !

 

 

Source : Forbes – 10 Avril 2021 – WhatsApp : une double-vulnérabilité permet de contourner la double-authentification et de bloquer le compte-utilisateur.




  • 50% J'apprécieVS
    50% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-1: :+1: :) :( 8-O 8)

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2021 - v1.7.2