« C'est encore un autre piratage inquiétant, prévient Jake Moore d'ESET, qui pourrait avoir un impact sur des millions d'utilisateurs potentiellement ciblés par cette attaque. Avec tant de personnes qui comptent sur WhatsApp comme principal outil de communication à des fins sociales et professionnelles, il est alarmant de voir avec quelle facilité cela peut se produire ».
Dans un rapport publié en 2019 intitulé « L’état de la téléphonie mobile en 2019 », App Annie écrit que 2018 fut l’année la plus grande pour le mobile. Les smartphones ont pris une place importante dans nos vies quotidiennes. Les applications mobiles se performent de jour en jour pour garantir un meilleur service aux utilisateurs. Les messages instantanés, les transactions bancaires, les achats en ligne, et bien d’autres sont possibles aujourd’hui avec les téléphones intelligents. Les grandes entreprises qui développent des solutions de messagerie instantanée, telles que Google ou Facebook, traînent souvent un nombre élevé d’utilisateurs à travers le monde grâce aux multiples avantages de leurs services. Avec sa plateforme d’applications Facebook (comportant l’application Facebook, Whatsapp messenger, Messenger, Instagram, etc.), l’entreprise de Mark Zuckerberg détient une grande part du marché des applications pour la messagerie instantanée, en moyenne 2 milliards d'utilisateurs actifs par jour.
Pour certains analystes, malgré la vaste base d'utilisateurs WhatsApp, la plateforme serait en train de craquer. Son architecture a pris du retard sur ses rivaux, manquant de fonctionnalités clés telles que l'accès multiappareil et les sauvegardes entièrement chiffrées. Alors que le réseau social le plus populaire au monde se concentre sur la mise en place de nouvelles conditions de service pour rendre Facebook encore plus lucratif, ces avancées indispensables semblent traîner le pas. En début d'année, le service de messagerie appartenant à Facebook a alerté les utilisateurs d'une mise à jour de ses conditions de service et de sa politique de confidentialité qui devrait entrer en vigueur le mois suivant. Les « mises à jour clés » concernent la manière dont WhatsApp traite les données des utilisateurs, « comment les entreprises peuvent utiliser les services hébergés par Facebook pour stocker et gérer leurs discussions WhatsApp » et « comment nous nous associons à Facebook pour offrir des intégrations dans les produits de l'entreprise Facebook ».
Les modifications obligatoires permettraient à WhatsApp de partager plus de données utilisateur avec d'autres sociétés Facebook, y compris les informations d'enregistrement de compte, les numéros de téléphone, les données de transaction, les informations relatives au service, les interactions sur la plateforme, les informations sur les appareils mobiles, l'adresse IP et d'autres données collectées. « À l'heure actuelle, WhatsApp partage certaines catégories d'informations avec des entités Facebook. Les informations que nous partageons avec les autres entités Facebook incluent les informations d'enregistrement de votre compte (comme votre numéro de téléphone), les données de transactions, des informations liées à des services, des informations sur la façon dont vous interagissez avec d'autres, y compris des entreprises, lorsque vous utilisez nos services, les informations sur votre appareil mobile, votre adresse IP, et peuvent inclure d'autres informations identifiées dans la section de la Politique de confidentialité titrée "Informations que nous recueillons", ou obtenues après vous en avoir averti(e) ou sur la base de votre consentement ».
« Si la mise en place de nouvelles stratégies commerciales pour rendre Facebook encore plus lucratif est facilement observable, minimiser la gravité des risques de sécurité serait devenu le style maison chez Facebook. En 2019, une vulnérabilité qui permettait aux numéros de téléphone privés des utilisateurs d'être extraits des bases de données de Facebook à grande échelle à l'aide de robots automatisés aurait été signalée à Facebook. Cette vulnérabilité aurait été reconnue et rejetée par Facebook. Ironiquement, même l'authentification à deux facteurs (2FA) de WhatsApp n'empêche pas l'attaque à l'origine de ce dernier avertissement », souligne Zak Doffman rédacteur technique en cybersécurité. « Et c'est un vrai problème pour les utilisateurs, car, même s'ils suivent tous les conseils de sécurité, cela ne servira à rien », ajoute-t-il. Cette vulnérabilité de sécurité nouvellement divulguée implique deux processus WhatsApp distincts, qui présentent tous deux une faiblesse fondamentale. Et c'est la combinaison de ces deux faiblesses qui peut désactiver WhatsApp et empêcher l’utilisateur d'y accéder à nouveau.
Lorsqu’un utilisateur installe WhatsApp pour la première fois sur son téléphone, ou qu’il change de téléphone, la plateforme lui envoie un code SMS pour vérifier le compte. Une fois le bon code saisi, l'application demande le numéro 2FA pour s'assurer qu'il s'agit bien du bon utilisateur. Voici, ci-dessous, le déroulement de l'attaque tel que présenté par les chercheurs Luis Márquez Carpintero et Ernesto Canales Pereña.
Première vulnérabilité
N'importe qui peut installer WhatsApp sur un téléphone et saisir le numéro d’une cible à l’étape de vérification. La cible reçoit alors des textes et des appels de WhatsApp avec le code à six chiffres. La cible verra également une notification de l'application WhatsApp, indiquant qu'un code a été demandé, et indiquant de ne pas le partager. Un cybercriminel peut faire cela avec le numéro de téléphone WhatsApp de sa cible pendant que ce dernier utilise normalement l’application. Il demande des codes répétés et entre des suppositions incorrectes dans son application.
Alerte de vérification et sms sur le téléphone de la victime
La cible reçoit les codes par SMS, et peut-être aussi des appels, mais ne peut rien faire pour arrêter cela. Le problème est que le processus de vérification de WhatsApp limite le nombre de codes qui peut être envoyé. Après quelques tentatives, le WhatsApp du cybercriminel dira : « Renvoyez-moi un SMS/appelez-moi dans 12 heures », et donc aucun nouveau code ne peut être généré. WhatsApp bloque également la saisie de codes sur l'application après un certain nombre de tentatives, en indiquant au cybercriminel « vous avez essayé trop de fois... réessayez dans 12 heures ». Ainsi, alors que l’application WhatsApp sur le téléphone de la victime continue de fonctionner normalement, le cybercriminel a bloqué l'envoi de tout nouveau code vérification. Tout dépend maintenant du compte à rebours de 12 heures. Rien de tout cela ne devrait poser problème. À moins que la victime ne désactive WhatsApp sur son téléphone et procède à une nouvelle vérification.
Seconde vulnérabilité
Le cybercriminel enregistre maintenant une nouvelle adresse e-mail, Gmail fera l'affaire, et envoie un e-mail à support@whatsapp.com. Compte perdu/volé, l'e-mail dit : « Veuillez désactiver mon numéro ». Le cybercriminel inclut le numéro de la victime. WhatsApp peut envoyer une réponse automatique par e-mail pour demander à nouveau le numéro. WhatsApp a reçu un e-mail faisant référence au numéro de téléphone de la victime. Elle n'a aucun moyen de savoir s'il s'agit vraiment du bon utilisateur. Il n'y a pas de questions de suivi pour confirmer que vous êtes le propriétaire du numéro. Mais un processus automatisé a été déclenché, à votre insu, et votre compte va être désactivé.
Une heure plus tard, et soudain, WhatsApp cesse de fonctionner sur votre téléphone et vous voyez apparaître une notification alarmante : « Votre numéro de téléphone n'est plus enregistré auprès de WhatsApp sur ce téléphone, est-il indiqué. Cela peut être dû au fait que vous l'avez enregistré sur un autre téléphone. Si vous ne l'avez pas fait, vérifiez votre numéro de téléphone pour vous reconnecter à votre compte. » Ceci peut se produire même si l’utilisateur dispose de la fonction 2FA sur son compte WhatsApp. Mais, même dans ce cas, cela ne devrait pas être un problème. Il suffit de demander un code et de réenregistrer le compte.
Le compte WhatsApp désactivé de la victime lui demande son numéro de téléphone pour l’envoi d’un code. La victime peut entrer et confirmer son numéro. Mais aucun texte n'arrive. « Vous avez essayé d'enregistrer votre numéro récemment, vous dit l'application. Attendez avant de demander un SMS ou un appel. » Le téléphone de la victime est en réalité désormais soumis au même compte à rebours que celui du cybercriminel. La victime ne peut pas demander un nouveau code avant 12 heures de temps.
En effet, la victime a reçu des codes WhatsApp inattendus une heure ou deux heures plus tôt. « Vous avez deviné trop de fois », indique WhatsApp. En réalité, le téléphone de la victime a les mêmes restrictions que celui du cybercriminel. La victime qui ne peut pas demander un nouveau code ou entrer le dernier code est coincée. Le compte à rebours indique probablement 10 à 11 heures à ce stade. Si l'attaque s'arrête là, la victime peut demander un nouveau SMS et vérifier son compte à l'aide d'un nouveau code à six chiffres après l'expiration de ce compte à rebours de 12 heures. Mais il y a un détail désagréable.
Le cybercriminel n'a pas besoin d'envoyer un message à WhatsApp pendant ce premier compte à rebours de 12 heures, il peut attendre et ensuite répéter le processus. La victime recevra beaucoup plus de messages, mais ne pourra toujours rien. Si le cybercriminel procède ainsi, au troisième cycle de 12 heures, WhatsApp semble tomber en panne. « Vous avez deviné trop de fois, dit l'application, réessayez après -1 seconde ». Il n'y a maintenant aucun moyen pour le cybercriminel de demander ou d'entrer de nouveaux codes, il n'y a pas de compte à rebours, au lieu de dire « 12 heures », il dit « -1 secondes ». Tout est bloqué.
Malheureusement, l’une des clés de réussite de cette attaque réside dans le fait que le téléphone de la victime est traité de la même manière que celui du cybercriminel. Il est clair que la combinaison de cette architecture de vérification, des limites de SMS/codes et des actions automatisées, basées sur des mots-clés et déclenchées par des e-mails entrants, est ouverte aux abus.
Selon les chercheurs, le véritable problème dans cette attaque est qu’elle ne nécessite pas de connaissance en informatique. « Ce problème n'est pas complexe et devrait être facilement résolu. WhatsApp pourrait s'assurer qu'une application sur un appareil avec 2FA enregistré peut empêcher ce problème, en utilisant 2FA comme un disjoncteur », indiquent les chercheurs. « Plus simplement encore, lorsque l'accès multiappareil apparaîtra, WhatsApp pourrait utiliser le concept d'appareil de confiance pour permettre à une application vérifiée d'en vérifier une autre. Il s'agit là d'un bien meilleur système qui mettrait fin à cette vulnérabilité », ajoutent-ils.
Pour Jake Moore, cette vulnérabilité a mis en évidence un autre problème grave sur WhatsApp. « Il n'y a aucun moyen de refuser d'être découvert sur WhatsApp, prévient-il. N'importe qui peut taper un numéro de téléphone pour localiser le compte associé s'il existe. Idéalement, une évolution vers une plus grande attention à la vie privée aiderait à protéger les utilisateurs contre cela, ainsi qu'à forcer les gens à mettre en place un code PIN de vérification en deux étapes. »
En réponse à la divulgation, un porte-parole de WhatsApp déclare « fournir une adresse e-mail avec votre vérification en deux étapes aide notre équipe du service clientèle à apporter de l’aide aux personnes qui pourrait rencontrer un jour ce problème peu probable. Les circonstances identifiées par ce chercheur violeraient nos conditions de service et nous encourageons toute personne ayant besoin d'aide à envoyer un e-mail à notre équipe de support afin que nous puissions enquêter ». En d’autres termes, les responsables de WhatsApp avisent que si un utilisateur doit mener cette attaque, il sera en violation de leurs conditions de service et en subira les conséquences. Si cela n’apporte aucune aide aux victimes, cette déclaration devrait servir d'avertissement pour ne pas expérimenter cette vulnérabilité.
Et vous ?
Utilisez vous WhatsApp ?
Que pensez-vous de sa politique de confidentialité ?
Seriez-vous prêt à passer à un autre système de messagerie ?
Quel est votre avis sur cette vulnérabilité de WhatsApp ?
Voir aussi :
WhatsApp cède concernant l'application de sa politique suite à la migration massive vers Signal : « Grâce à de nombreuses personnes, nous comprenons la confusion qui règne autour de la MàJ»
WhatsApp pourrait fermer votre compte si vous refusez de partager vos données avec Facebook, une Màj de ses conditions d'utilisation lui permettent de collecter presque toutes vos données personnelles
WhatsApp est devenue l'application Facebook ayant le plus d'utilisateurs actifs mensuels, selon un rapport
WhatsApp perd des millions d'utilisateurs après l'annonce de la mise à jour de ses conditions d'utilisation, les internautes se tournant vers Signal, Telegram ou encore ICQ à Hong Kong