C'est une découverte effrayante qui a été faite par deux chercheurs en sécurité relayée par Forbes. Avec un simple numéro de téléphone, n'importe quelle personne malintentionnée peut bloquer définitivement un compte WhatsApp et ce, sans aucune connaissance particulière en matière de piratage ou de cybersécurité. Comble de l'ironie, cette faille de sécurité est rendue possible grâce à l'authentification à double facteur, justement censée sécuriser au mieux un compte.

L'authentification à double facteur de WhatsApp est au cœur de cette faille de sécurité

L'authentification à double facteur (2FA) est un système de sécurité qui a largement fait ses preuves par le passé, et aujourd'hui, quasiment toutes les applications "sensibles" (Google, Facebook, applications bancaires, etc.) l'utilisent. Concrètement, ce système permet à un utilisateur de générer un code éphémère à chaque nouvelle connexion, en sus de son mot de passe classique. Ce code est envoyé généralement sur le numéro de téléphone que l'usager a préalablement renseigné, ce qui permet ainsi de garantir une sécurité optimale. Seulement voilà... Sur WhatsApp, il semblerait que le système entourant l'authentification à double facteur ne soit pas tout à fait au point, et c'est le moins que l'on puisse dire.

En utilisant simplement votre numéro de téléphone, une personne tierce peut tenter de se connecter à votre compte WhatsApp, et générer ainsi une multitude de codes éphémères via l'authentification à double facteur. Elle n'aura évidemment pas accès à ces derniers, puisque les codes générés arriveront directement par SMS sur votre téléphone, ce qui l'empêchera de se connecter à votre compte. Rassurant ? En théorie. Inoffensif ? Sûrement pas.

Lorsque le nombre de tentatives de connexion aura été dépassé, WhatsApp bloquera son système. L'envoi de SMS sera alors suspendu pendant 12 heures, et votre compte sera gelé durant ce même laps de temps.

Échec de la vérification WhatsApp sur le téléphone de la victime.

Échec de la vérification du téléphone de la victime. Image : Forbes

L'attaquant n'aura alors qu'à envoyer un e-mail au support de WhatsApp via le formulaire « Compte perdu / volé », et à demander que le numéro de téléphone lié au compte soit désactivé. Le service de messagerie n'effectuant aucune vérification à ce niveau-là, n'importe quelle fausse adresse mail fera l'affaire.

Vous ne recevrez alors plus les codes de l'authentification à double facteur, et l'attaquant n'aura qu'à répéter son opération. Au bout de trois périodes de suspension de 12 heures, WhatsApp désactivera automatiquement et définitivement votre compte, qu'il jugera comme étant corrompu. Un véritable jeu d'enfant qui ne requiert aucune compétence particulière, mais seulement une bonne dose de patience.

Deux téléphones montrent le compte à rebours de WhatsApp sur le système d'authentification à double facteur.

Sur le téléphone de la victime (à gauche) comme sur le téléphone de l'attaquant (à droite), l'authentification à double facteur est bloquée. Image : Forbes

Comment protéger son compte WhatsApp ?

Mis au courant de cette faille de sécurité au sein de son système, WhatsApp est resté évasif et n'a pas indiqué travailler à la corriger. L'application de messagerie instantanée estime sûrement que ce problème n'en est pas réellement un, puisqu'il suffit aux utilisateurs de renseigner préalablement leur adresse e-mail à l'équipe d'assistance.

À défaut d'une solution plus efficace, comme la mise en place d'un système d'appareil de confiance, nous vous invitons donc à suivre le conseil de WhatsApp et à indiquer au service de messagerie votre adresse e-mail. Pour cela, rendez-vous dans "Paramètres", puis dans "Compte", dans "Vérification en deux étapes" et enfin dans "Modifier l'adresse e-mail". Là, vous pourrez indiquer l'adresse e-mail de référence pour échanger avec le support de l'application.

C'est une bien maigre solution, mais c'est la seule qui existe à l'heure actuelle. Espérons que WhatsApp se ravise et se décide, enfin, à mettre en place des dispositifs de sécurité plus importants. C'est d'autant plus urgent que l'application est aujourd'hui utilisée par plus de 2 milliards de personnes à travers le monde, tant dans le cadre personnel que dans le cadre professionnel.