Un chercheur a repéré un moyen trivial de déclencher la désactivation d'un compte pour n'importe quel compte WhatsApp cible. Il est intéressant de noter que les responsables de WhatsApp ont rapidement remédié aux failles de sécurité peu après son rapport, ce qui rend les désactivations de compte à distance malveillantes quelque peu difficiles.
La menace de désactivation de compte à distance de WhatsApp s'applique à tout le monde
Dans un tweet récent, le chercheur en sécurité d'ESET Jack Moore a souligné comment il pouvait désactiver n'importe quel compte WhatsApp en quelques minutes sans autre vérification.
La faille n'existait pas à cause d'un oubli de code ou d'une vulnérabilité. Elle existait plutôt dans la façon dont un adversaire abuse d'une procédure autrement simple – ce que la plupart des pirates informatiques criminels adorent faire !
Plus précisément, WhatsApp permettait aux utilisateurs de verrouiller rapidement leurs comptes WhatsApp en demandant la suppression du compte à la suite de la perte ou du vol d'un appareil. La procédure exigeait simplement que l'utilisateur envoie un courriel à l'assistance WhatsApp, en mentionnant le numéro WhatsApp souhaité au format international, avec la phrase “Perdu/Volé : Merci de désactiver mon compte.” Le service commençait alors immédiatement la désactivation du compte.
Cependant, c'est là que le problème se posait. Comme l'a souligné Moore, WhatsApp n'utilise aucune vérification supplémentaire avant de lancer la désactivation du compte. Un adversaire pourrait donc abuser de cette fonction en envoyant un courriel contenant le numéro de téléphone de l'utilisateur cible à partir de n'importe quelle adresse électronique aléatoire (WhatsApp ne vérifiera pas non plus l'adresse électronique). (WhatsApp ne vérifiera pas non plus l'adresse électronique).
Pour démontrer le problème, Moore a essayé d'envoyer un tel courriel pour son propre compte WhatsApp. Il a alors rapidement reçu la réponse de WhatsApp, confirmant la désactivation du compte.
Bug corrigé sournoisement et rapidement
À la suite du tweet de Moore, Davey Winder de Forbes a également souligné la question dans son billet, s'assurant ainsi que l'affaire retienne l'attention. Et il semble que les choses aient fonctionné comme prévu, puisque WhatsApp a discrètement mais rapidement commencé à corriger le problème.
Selon les mises à jour listées dans le post, WhatsApp a introduit des changements dans le fonctionnement de la procédure. Jusqu'au moment de la rédaction de cet article, WhatsApp a apparemment commencé à envoyer des messages de confirmation aux utilisateurs demandant la désactivation de leur compte. En plus de confirmer la bonne réception des demandes, le message demande aux utilisateurs d'envoyer une preuve de la propriété du compte, comme une copie de la facture ou du contrat du téléphone.
On ne sait pas encore si WhatsApp prévoit d'autres mesures pour que la procédure de désactivation de compte reste efficace, rapide, mais aussi sûre pour les utilisateurs.
Néanmoins, Moore conseille aux utilisateurs d'appliquer l'authentification à deux facteurs à tous les comptes WhatsApp, en limitant la demande de désactivation du compte à l'adresse électronique 2FA correspondante. En effet, avec la vérification de la propriété du compte de WhatsApp, l'ajout de l'authentification à deux facteurs pourrait encore renforcer la sécurité du compte des utilisateurs.
Fais-nous part de tes réflexions dans les commentaires.
