Des pirates arrivent à détourner des comptes WhatsApp et à accéder à des conversations ou à la liste de contact. Sur WhatsApp, les codes commençant par * , #, **, ou *# devant un numéro de téléphone sont censés permettre de rediriger les appels. Mais Bleeping Computer et Android MT sonnent l’alerte, certains permettraient également de provoquer la redirection des messages texte et des appels vers un numéro malveillant. Un code secret Une attaque permet aux attaquants de prendre le contrôle d’un compte WhatsApp en quelques minutes seulement. Ce piratage se base sur un service automatisé des opérateurs mobiles appelé IHM pour “Interface Homme Machine”. Il s’agit d’une sorte de code secret permettant à l’utilisateur d’accéder à certaines fonctions sur son mobile. Par exemple, sur WhatsApp, ces codes permettent de transférer les appels vers un autre numéro de téléphone, ou seulement lorsque la ligne est occupée ou qu’il n’y a pas de réception. À savoir que ces codes sont surtout compatibles avec les téléphones Android. Rahul Sasi, fondateur et PDG de l’entreprise de protection contre les risques numériques CloudSEK, a publié quelques détails sur le piratage en question, utilisé pour pirater un compte WhatsApp. Son explication a été rapportée par Bleeping Computer. L’attaque commence comme tel : la victime reçoit un appel de l’attaquant. Cet appel est censé la convaincre de passer un appel à un numéro, précédé des codes IHM. Par exemple, “**67*<10 digit number>” ou “*405*<10 digit number>”, précise Rahul Sasi. Le numéro composé est en réalité une demande de service. D’après Android MT, il est aussi possible que la victime reçoive un SMS d’un de ses contacts (déjà piraté) indiquant “je suis en galère avec WhatsApp, stp compose ce numéro sur ton tel, je t’explique plus tard”. Une prise de contrôle des données du téléphone Concrètement, le numéro à dix chiffres appartient à l’attaquant. Le code IHM qui le précède donne pour indication à l’opérateur mobile de transférer tous les appels vers le numéro de téléphone malveillant. Et ce, lorsque la ligne de la victime est occupée. Les mots de passe à usage unique, ou en anglais, un “one-time passwords” (OTP), sont généralement utilisés dans le cadre d’une procédure d’authentification multi-facteurs (MFA/2FA). C’est ainsi qu’une fois que le processus de demande de service IHM est effectué, et donc, que le transfert d’appel est activé, l’attaquant déclenche le processus d’enregistrement WhatsApp pour le numéro de la victime et choisit l’option d’envoyer l’OTP par appel téléphonique. Étant donné que le téléphone du propriétaire est occupé, l’OTP sera envoyé au téléphone de l’attaquant. Une fois en possession de ce code OTP, le pirate peut enregistrer le compte WhatsApp de la victime sur son appareil. Et donc, activer l’authentification à deux facteurs (2FA) et empêcher les propriétaires légitimes et victimes de retrouver l’accès à leur données. Se protéger En bref, ce que les pirates exploitent est le fait que l’utilisateur moyen de Whatsapp n’est pas familier avec les codes IHM. Par ailleurs, un signal d’alerte n’est pourtant pas négligeable. Au moment des tests, BleepingComputer a remarqué que l’appareil de la victime recevait des messages texte l’informant que WhatsApp est en cours d’enregistrement sur un autre appareil. “Chaque pays et chaque fournisseur de services a un numéro de demande de service similaire, donc cette astuce fonctionne dans le monde entier”, conclut Rahul Sasi. Pour éviter d’être victime de cette attaque, le mieux est d’activer l’authentification à deux facteurs (2FA) dans WhatsApp. Ainsi, pour effectuer sa manipulation, le pirate aura non seulement besoin du numéro de téléphone de la victime, mais aussi d’un code de sécurité. L’attaque ne pourra donc pas fonctionner.