La faille a été découverte par deux étudiants en génie informatique, Luis Marquez Carpenter Oui Ernesto Canales Pereña. Les jeunes ont tenté de signaler le bogue à WhatsApp jusqu’à quatre fois au total, mais l’application les a tous ignorés. Par conséquent, ils ont décidé de le rendre public.
Lorsque vous installez WhatsApp sur un mobile pour la première fois ou que vous changez de mobile, l’entreprise vous envoie un SMS de vérification pour accéder au compte associé à votre numéro de téléphone. Avec ce processus, n’importe qui peut installer WhatsApp sur son mobile, mettre votre numéro de téléphone et recevoir un SMS ou un appel avec le code à six chiffres pour accéder à l’application, ainsi qu’un message qui vous dit de ne pas partager. Pendant que l’attaquant tente d’accéder, vous recevrez plusieurs SMS qu’il vous suffira d’ignorer. Nous rappelons qu’il est très important de ne jamais donner à personne ce code à 6 chiffres, qui est une arnaque très courante ces dernières années.
Un e-mail à WhatsApp peut désactiver votre compte
Pour empêcher un attaquant d’essayer tous les numéros possibles, l’application bloque le processus de vérification et vous demande de attendre 12 heures après plusieurs tentatives. Dans ce processus, l’attaquant peut enregistrer un nouvel e-mail et envoyer un e-mail à support@whatsapp.com, lui demandant de désactiver le compte associé au numéro de téléphone qu’il a tenté de pirater à l’aide de mots-clés qui provoquent l’activation d’un système automatisé.
WhatsApp peut envoyer un e-mail automatiquement pour confirmer à nouveau le numéro. À partir de là, un processus automatique démarre dans lequel WhatsApp procédera à Désactiver votre compte sans vérifier à aucun moment s’il est le véritable propriétaire du numéro de téléphone ou non. L’attaque ne peut même pas être empêchée en utilisant la vérification en deux étapes, et si le compte n’est pas réenregistré, le compte perdu pour toujours après 30 jours.
Ainsi, environ une heure plus tard, WhatsApp cesse de fonctionner sur votre mobile et vous voyez une notification qui dit «Votre numéro de téléphone n’est plus enregistré avec WhatsApp sur ce téléphone. Cela peut être dû au fait que vous l’avez enregistré sur un autre téléphone. Si vous ne l’avez pas fait, vérifiez votre téléphone pour accéder à nouveau à votre compte ».
Cela, à première vue, n’est pas inquiétant, puisque vous pouvez procéder à la configuration de votre compte associé à votre numéro comme lorsque vous installez l’application à partir de zéro. Cependant maintenant aucun SMS n’arrive car l’attaquant a tenté de s’enregistrer avec votre numéro et vous devez attendez environ 11 heures. Entrer le dernier code reçu ne sert à rien non plus, car l’application vous dira à nouveau que vous l’avez entré trop de fois.
Le compte à rebours devient infini au troisième essai
De cette manière, l’attaquant n’a plus qu’à attendre environ 11 heures pour réessayer d’accéder avec votre mobile afin de générer de nouveaux codes et de prolonger à nouveau le temps d’attente à 12 heures. Cependant, ce n’est même pas nécessaire, car après la troisième tentative, au lieu de 12 heures, un compte à rebours que dit-il à gauche -1 seconde.
Si l’attaquant envoie maintenant l’e-mail à l’entreprise pour demander la suspension du compte WhatsApp, il n’y a aucun moyen de le récupérer, car le compte à rebours est bloqué et il n’y a aucun moyen de le réparer. La seule option est de contacter le service WhatsApp et de prier pour qu’il le répare. Si vous ne faites rien, votre compte disparaîtra.
Cette attaque est très facile à réaliser pour quiconque et devrait être corrigée dès que possible par WhatsApp. Si nous ajoutons à cela la fuite de données Facebook, maintenant tout le monde peut connaître votre numéro de téléphone et bloquer votre compte WhatsApp. De WhatsApp, ils se sont limités à dire que cela va à l’encontre de leurs conditions d’utilisation. Comme si cela comptait pour les pirates. De cette façon, si vous souhaitez prouver l’échec avec un nouveau numéro virtuel pour WhatsApp, vous violerez les conditions de l’application.
Un moyen simple de résoudre cet échec consiste à implémenter un système similaire à Telegram, qui envoie les codes de vérification via l’application elle-même plutôt que par SMS. À leur tour, ils devraient éliminer immédiatement la possibilité de désactiver des comptes par e-mail sans vérifier les identités. Pour les utilisateurs, il est préférable d’utiliser d’autres applications telles que Telegram ou Signal. Ce dernier est même utilisé par Mark Zuckerberg, comme cela a été appris dans la fuite Facebook où son propre numéro de téléphone a été divulgué.