WhatsApp, le géant des messageries, est devenu le terrain d’une nouvelle vulnérabilité qui a touché pas moins de 2 milliards d’utilisateurs.
Une attaque de type Déni de Service (DoS) a été découverte dans le fonctionnement de WhatsApp, permettant à des personnes mal intentionnées de désactiver un compte de la messagerie appartenant à META (Facebook) en envoyant simplement une lettre au support technique. Cette faille, qui a déjà été exploitée, a généré des blocages de comptes intempestifs.
La vulnérabilité de désactivation de compte sur WhatsApp
Contrairement à ce que l’on pourrait penser, la désactivation d’un compte WhatsApp n’était pas limitée au seul propriétaire du compte. Toute personne ayant le numéro de téléphone enregistré dans le compte pouvait également envoyer une demande de désactivation au support technique. Cette demande pouvait être répétée à partir de différentes adresses e-mail, entraînant ainsi un déni de service d’une durée d’un mois. Initialement, la désactivation de compte était prévue pour les situations où un téléphone était perdu ou volé. L’utilisateur pouvait alors envoyer un e-mail au support technique avec la phrase clé « perte/vol, veuillez désactiver le compte » et le numéro de téléphone associé, ce qui bloquait l’accès pour une période de 30 jours. Cependant, pendant cette période, les contacts pouvaient toujours voir le profil du propriétaire et lui envoyer des messages, qui seraient accessibles une fois le compte réactivé sur un autre appareil.
Une faille exploitable pour les attaques DoS
La simplicité de cette procédure de désactivation a suscité des inquiétudes quant à sa vulnérabilité. Jake Moore, expert médico-légal et consultant en cybersécurité chez ESET, a mis en évidence cette faille en montrant comment un individu malveillant, connaissant simplement le numéro de téléphone de la victime, pouvait envoyer de multiples demandes de désactivation. En automatisant ce processus, une attaque DoS de 30 jours pouvait être mise en place, entraînant une interruption prolongée du compte de la victime.
Réaction de WhatsApp face à l’attaque
Suite à la révélation de cette vulnérabilité, WhatsApp a réagi rapidement pour contrer les attaques DoS. Dans un premier temps, l’option de désactivation via le support technique a été désactivée. Ensuite, toutes les demandes de désactivation ont commencé à renvoyer une confirmation de réception. Actuellement, WhatsApp exige en plus un document de confirmation du droit au numéro de téléphone spécifié avant de procéder à la désactivation. Ces mesures ont été mises en place pour réduire le risque de manipulations malveillantes.
Mesures de sécurité recommandées
Bien que WhatsApp ait pris des mesures pour résoudre cette vulnérabilité, certains utilisateurs pourraient toujours être confrontés au besoin de désactiver leur compte en cas de perte ou de vol de leur téléphone. Pour se prémunir contre de telles attaques, je vous recommande d’activer l’authentification à deux facteurs (2FA) sur WhatsApp. Cette option, qui est désactivée par défaut, ne permettra la désactivation du compte que si la demande provient de l’adresse e-mail associée au compte.
