Un bug WhatsApp a permis aux pirates d’hacker votre compte avec juste un appel vidéo.

Un chercheur en sécurité chez Project Zero chez Google a découvert un bug étrange dans WhatsApp qui permettait aux pirates de prendre le contrôle de l’app si ils connaissaient simplement votre numéro de téléphone. Tout ce qu’ils avaient à faire était de vous passer un appel vidéo et de vous amener à y répondre. Bien que le bug WhatsApp n’ait été révélé que mardi, la chercheuse Google, Natalie Silvanovich, l’avait découvert et signalé à la société propriétaire de Facebook en août.

Comment le bug WhatsApp vous a rendu vulnérable aux attaques ?

Le bug WhatsApp a été corrigé dans les versions iOS et Android de l’application. Natalie Silvanovich a expliqué sur Chromium comment perdre le contrôle de son compte en prenant un appel vidéo WhatsApp d’un mauvais utilisateur. Natalie a décrit ce problème comme un «bug de corruption de mémoire dans l’implémentation de la vidéoconférence non WebRTC de WhatsApp». Il provoque le blocage de l’appareil quelques secondes après la prise de l’appel vidéo.

Elle n’a révélé le bug WhatsApp au public qu’après que l’entreprise l’ait corrigé via une mise à jour logicielle. Silvanovich a écrit dans un rapport de bug qu’une corruption de tas pouvait se produire lorsque l’application WhatsApp «recevait un paquet RTP mal formé». Le bug affecte uniquement les versions Android et iOS de WhatsApp, car elles utilisent le protocole RTP (Real-time Transport Protocol) pour les appels vidéo. Le site Web WhatsApp n’est pas affecté car il repose sur WebRTC pour les appels vidéo.

Le chercheur de Google a également partagé un code de validation technique et des instructions pour reproduire l’attaque de piratage. Le bug WhatsApp a été corrigé sur les appareils Android le 28 septembre et pour les appareils iOS le 3 octobre via une mise à jour. La société de messagerie a déclaré dans un communiqué qu’elle « se préoccupe profondément de la sécurité de nos utilisateurs ». Elle collabore avec des chercheurs en sécurité du monde entier pour garantir que le service « reste sûr et fiable ».

WhatsApp a déclaré qu’il n’avait trouvé aucune preuve de piratage exploitant ce bug pour attaquer d’autres utilisateurs. Il encourageait les utilisateurs à mettre à jour leur application vers la dernière version afin de corriger le dit bug WhatsApp. Avec plus d’un milliard d’utilisateurs actifs, WhatsApp est une plate-forme lucrative permettant aux pirates informatiques de mener des attaques.

WhatsApp offre des appels vidéo depuis longtemps. Il a introduit la vidéoconférence de groupe avec jusqu’à quatre personnes il y a quelques mois. L’appel vidéo de groupe fonctionne même avec des connexions réseau lentes, ce qui est important car la plupart des utilisateurs de WhatsApp se trouvent dans des pays émergents tels que l’Inde et le Brésil, où la connectivité Internet n’est pas très puissante. La vidéo de groupe et les appels vocaux sont cryptés de bout en bout.

Les pirates utilisent également le truc de la messagerie vocale pour contrôler votre WhatsApp.

Plus tôt ce mois-ci, l’agence de cyber-sécurité Israélienne a envoyé une alerte de sécurité nationale sur une nouvelle méthode de piratage de WhatsApp. Cela implique de tirer parti des boîtes de réception vocales mal sécurisées. La technique a été découverte par un développeur Israélien il y a environ un an, mais les pirates l’ont largement utilisée ces derniers mois.

L’agence de cybersécurité a noté que la plupart des utilisateurs de messagerie vocale ne modifiaient souvent pas le mot de passe de leur compte, ce qui signifie que leur mot de passe restait 1234 ou 0000. Un attaquant pourrait utiliser le système de messagerie vocale pour pirater votre compte WhatsApp. Le pirate informatique entrerait le numéro de téléphone de la victime qu’il tente de cibler lors de l’installation du nouveau compte WhatsApp sur son propre téléphone.

Étant donné que WhatsApp enverra le mot de passe à utilisation unique au numéro de téléphone de l’utilisateur légitime (auquel le pirate informatique n’a pas accès), l’attaquant entrerait un mauvais OTP. Après plusieurs tentatives incorrectes d’OTP, le service de messagerie vous indiquera la possibilité d’utiliser la vérification vocale. WhatsApp fera un appel vocal à l’utilisateur légitime pour lui indiquer le code de vérification. Si cet utilisateur n’a pas répondu à l’appel, l’OTP se retrouvera dans sa messagerie vocale. Le pirate informatique pourrait accéder à sa messagerie vocale pour accéder au code de vérification, puis pirater son compte WhatsApp.

Facebook est au centre de nombreux problèmes de sécurité depuis l’année dernière. Juste au moment où le scandale de Cambridge Analytica était la plus grande utilisation abusive des données de Facebook, la société a récemment révélé que des données privées de plus de 50 millions d’utilisateurs avaient été divulguées.

A lire également : Les hackers utilisent la messagerie vocale pour pirater des comptes WhatsApp.

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage