Les hackers utilisent la messagerie vocale pour pirater des comptes WhatsApp.

Une autre attaque de piratage de compte en ligne a émergé, ciblant cette fois WhatsApp.

L’agence Israélienne chargée de la cybersécurité a averti ses citoyens de l’attaque, qui peut souvent être menée sans aucune connaissance ni interaction de leur part. L’attaquant n’a besoin que du numéro de téléphone de la victime.

D’abord documenté par des chercheurs en sécurité l’année dernière, la faille de sécurité frappe maintenant le grand public. La semaine dernière, l’Autorité nationale israélienne de cybersécurité avait émis une alerte pour avertir que les utilisateurs de WhatsApp pourraient perdre le contrôle de leurs comptes.

Le hack met à profit la tendance des utilisateurs à ne pas modifier les informations d’accès par défaut sur les numéros de messagerie vocale des téléphones portables. L’attaquant demande à enregistrer le numéro de téléphone de la victime dans l’application WhatsApp sur son propre téléphone. Par défaut, WhatsApp envoie un code de vérification à six chiffres dans un message texte SMS au numéro de téléphone de la victime, pour vérifier que la personne à l’origine de la demande en est le propriétaire.

Idéalement, la victime verrait le message, l’avertissant que quelque chose se passait. Le pirate l’évite en lançant l’attaque à un moment où la victime ne veut pas répondre à son téléphone, par exemple au milieu de la nuit ou en vol. De nombreux utilisateurs peuvent même avoir leur téléphone réglé sur «Ne pas déranger» pendant cette période.

L’attaquant n’a pas accès au téléphone de la victime et ne peut donc pas voir le code lui permettant de le saisir. WhatsApp propose alors d’appeler le numéro de la victime avec un message téléphonique automatisé lisant le code. Comme la victime n’accepte pas d’appels, le message automatisé est laissé sous forme de messagerie vocale.

L’attaquant exploite ensuite une faille de sécurité sur de nombreux réseaux d’opérateurs, qui fournissent des numéros de téléphone génériques que les utilisateurs peuvent appeler pour accéder à la messagerie vocale. La seule information d’identification requise pour entendre la messagerie vocale est un code PIN à quatre chiffres. De nombreux opérateurs le définissent par défaut à un nom simple, tel que 0000 ou 1234. Ces mots de passe par défaut sont facilement découverts en ligne.

Lorsque l’attaquant utilise le code PIN par défaut pour accéder à la messagerie vocale de la victime, il peut entendre le code, puis l’entrer sur son propre appareil, en transférant le numéro de téléphone de la victime à son propre compte WhatsApp.

Pour sceller l’accord, l’attaquant peut ensuite activer la vérification en deux étapes, qui est une fonctionnalité optionnelle proposée par WhatsApp depuis 2017. Pour ce faire, l’utilisateur doit définir un code confidentiel personnalisé, qu’il doit ensuite ressaisir s’il souhaite revérifier. leur numéro de téléphone. Activer cette fonction empêche la victime de reprendre le contrôle de son propre numéro de téléphone.

Le chercheur en sécurité Martin Vigo a exploré et développé les attaques par messages téléphoniques automatisés lors d’une conférence à DEF CON en août intitulée « Compromettre les comptes en ligne en détruisant les systèmes de messagerie vocale ». Il est allé au-delà des simples codes confidentiels de messagerie vocale par défaut, en utilisant un script Python qui oblige les comptes de messagerie vocale forcés à l’aide de l’API de téléphonie basée sur le cloud Twilio.

Au cours de l’entretien, il a appelé plusieurs services en ligne qui, selon lui, étaient vulnérables à de telles attaques. PayPal, Netflix, Instagram et LinkedIn prennent en charge la réinitialisation du mot de passe par appel téléphonique automatisé, a-t-il déclaré, ajoutant qu’Apple, Google, Microsoft et Yahoo prennent en charge l’utilisation de la messagerie vocale automatisée pour l’authentification à deux facteurs (2FA).

Dans un article de blog décrivant la conversation, il a déploré le fait que nous utilisions encore des technologies vieilles de 30 ans pour sécuriser des systèmes sensibles.

Comment pouvez-vous protéger votre WhatsApp et d’autres comptes des pirates de l’air ?

Si vous devez utiliser un service qui repose sur des messages vocaux automatisés, définissez un code PIN fort pour votre boîte de réception de messagerie vocale.

Enfin, activez la vérification en deux étapes sur votre compte WhatsApp en ouvrant WhatsApp et en sélectionnant Paramètres> Compte> Vérification en deux étapes>

A lire également :Comment pirater un compte WhatsApp ?

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage