Sans casser le chiffrement, sans voler de mot de passe, sans SIM swapping, des cybercriminels peuvent désormais accéder à WhatsApp. Une attaque qui pousse l’utilisateur à autoriser lui-même l’intrusion.
Des chercheurs en cybersécurité de Gen alertent sur une nouvelle méthode, baptisée GhostPairing, permettant de prendre le contrôle d’un compte WhatsApp sans dérober de mot de passe, sans attaquer le chiffrement et sans détourner la carte SIM. Le scénario repose sur la confiance : un message d’un contact proche, du type « Salut, j’ai trouvé ta photo« , entraîne la victime vers une fausse page imitant Facebook. Sous couvert de vérification d’identité, l’utilisateur saisit un code d’appairage WhatsApp authentique, ce qui ajoute, à son insu, le navigateur de l’attaquant comme appareil connecté. Le téléphone reste normal, l’espionnage devient discret et durable.
Le piège : une fausse photo, un vrai appairage
L’attaque ne commence pas par une faille technique spectaculaire. Elle démarre par un réflexe humain, la curiosité, et par un ressort social, la confiance. Un message arrive d’un contact connu : » Salut, j’ai trouvé ta photo » ; « Hello, c’est toi sur la vidéo ?« . Ce type de phrase fonctionne précisément parce qu’elle semble banale, presque intime. Elle abaisse la méfiance, surtout quand elle vient d’une personne proche, et elle donne envie de cliquer sans trop réfléchir. Une approche qui n’est pas nouvelle, mais prend une nouvelle tournure.
Le lien conduit ensuite vers une page frauduleuse qui copie l’apparence de Facebook. Là encore, l’attaquant joue sur un automatisme. Les internautes ont intégré l’idée qu’un site peut demander une « vérification » avant d’afficher un contenu. Cette étape est le cœur du piège. Ce qui ressemble à un contrôle d’identité n’est pas un écran de sécurité, c’est le processus de connexion d’un appareil WhatsApp.
La victime se retrouve à saisir un code d’appairage parfaitement légitime. Le détail est crucial : il ne s’agit pas d’un code inventé ou d’un contournement du chiffrement. C’est un mécanisme normal de la plateforme, prévu pour relier un nouvel appareil à un compte existant. En entrant ce code, l’utilisateur ajoute involontairement le navigateur du cybercriminel dans la liste des appareils connectés. L’accès s’installe sans bruit, sans alerte évidente, et surtout sans que le compte principal ne soit « déconnecté ».
Pourquoi c’est inquiétant : l’accès est invisible, la confiance devient vecteur
Plusieurs raisons de s’inquiéter, et elles ont un point commun : GhostPairing s’appuie sur le fonctionnement prévu de WhatsApp. Aucun mot de passe n’est nécessaire, ce qui réduit les signaux classiques d’attaque. Il n’y a pas non plus de SIM swapping, donc pas de coupure de ligne ou de perte de réseau qui pourrait alerter la victime. Et le chiffrement n’est pas « cassé », la manœuvre se déroule avant tout au niveau de l’autorisation d’accès.
La conséquence opérationnelle est claire : le téléphone continue de fonctionner normalement. L’utilisateur envoie et reçoit ses messages comme d’habitude, pendant qu’un second appareil lit, copie et observe. Dans une logique de renseignement, c’est précisément le scénario recherché : accès continu, discret, et à fort contenu informationnel. Les messages, les photos, les contacts, mais aussi les échanges privés qui révèlent des habitudes, des relations, des trajets, des fragilités, deviennent accessibles.
Le risque de propagation est aussi central. L’arnaque se diffuse via des comptes déjà compromis, qui écrivent ensuite à des proches, à des groupes familiaux ou à des cercles professionnels. L’effet boule de neige est alors mécanique : la confiance circule plus vite que les mises en garde. Une fois à l’intérieur d’un réseau social de proximité, l’attaquant gagne un avantage psychologique sur chaque nouvelle cible.
Insistons sur l’escalade possible. Avec un accès aux conversations, l’attaquant peut préparer des fraudes plus lourdes : usurpation d’identité, escroqueries ciblées, chantage. Les contenus vocaux, les photos et les échanges privés servent de matière première. Ce n’est pas seulement une atteinte à la vie privée, c’est un levier d’action contre la victime et son entourage.
Ce qui change : l’attaque ne casse rien, elle fait accepter
GhostPairing illustre une évolution majeure : au lieu de forcer la porte, l’attaquant obtient les clés en demandant poliment. Il ne s’agit pas d’un exploit complexe, mais d’une mise en scène qui amène l’utilisateur à valider lui-même l’accès. Les mécanismes de connexion rapides, QR codes, appairage, confirmations “en un geste”, sont conçus pour faciliter la vie. Ils deviennent aussi des surfaces d’abus, car ils réduisent la visibilité de ce qui est réellement accordé.
Le signal dépasse WhatsApp. DataSecuritybreach.fr y voit un avertissement pour toutes les plateformes où les connexions entre appareils se font vite, avec peu de friction et peu d’explications. Dans un monde où l’authentification se fluidifie, l’attaquant investit la persuasion. Il ne cherche pas seulement une faille, il cherche un réflexe.
Face à ce type d’attaque, la première défense consiste à regarder ce qui est déjà autorisé. Data Security Breach recommande de contrôler la liste des appareils liés au compte WhatsApp via les paramètres puis la section des appareils connectés, et de retirer tout appareil inconnu. Ensuite, il faut traiter comme suspect tout site qui demande de scanner un QR code WhatsApp ou d’entrer un code d’appairage pour accéder à une photo ou à un contenu. Cette demande est un signal d’alarme, car elle mélange deux univers, un prétexte « photo » et une action « connexion ».
Enfin, l’activation de la vérification en deux étapes est présentée comme une mesure utile, mais l’élément décisif reste la sensibilisation de l’entourage. Comme l’arnaque exploite les relations, prévenir famille, collègues et groupes devient une mesure de protection collective. La sécurité se joue alors autant dans la technique que dans la culture du doute.
Avec GhostPairing, voici une prise de contrôle qui ne ressemble pas à un piratage classique : elle s’installe par consentement trompé, sans bruit, et transforme un mécanisme d’appairage en porte d’entrée. Dans un écosystème où les connexions « sans friction » se multiplient, la question cyber et renseignement est directe : comment rendre visibles, compréhensibles et contestables ces autorisations, avant qu’elles ne deviennent l’arme favorite des escrocs ?
