Il est possible de prendre le contrôle du compte WhatsApp d’un utilisateur en le persuadant de saisir un code spécifique sur son téléphone.
L’astuce n’est pas simple, mais pas non plus impossible pour des manipulateurs chevronnés. Le concept consiste à convaincre une victime de transférer ses appels téléphoniques vers un autre numéro. Une fois que c’est fait, l’auteur peut solliciter un mot de passe à usage unique pour vérification via un appel téléphonique, afin de prendre ainsi le contrôle du compte.
Cette façon de faire a été révélée par Rahul Sasi, CEO de la firme de sécurité CloudSEK. Le site web de sécurité Bleeping Computer a pu la tester. Il ne la considère pas comme facile à exécuter, mais néanmoins réalisable en y mettant du sien.
Code MMI
En pratique, en tant que victime, vous êtes appelé, et on vous convainc de saisir un code sur votre téléphone, plus précisément un code MMI débutant par un * ou un #, qui intime de transférer vos entretiens téléphoniques vers un autre numéro. Le code exact peut être différent d’un pays à l’autre ou d’un opérateur à l’autre.
Ensuite, l’agresseur demande à Whatsapp sur son appareil un mot de passe à usage unique pour votre compte. Ce code, il le reçoit par appel téléphonique (automatisé). Mais comme les appels téléphoniques sont transférés, le code en question aboutit chez l’agresseur. Au moyen de ce code, votre compte WhatsApp est fermé sur votre appareil et déplacé vers celui de l’agresseur.
Avertissement
Bleeping Computer a pu tester la pratique avec succès. Le site apporte cependant la nuance, selon laquelle l’agresseur doit connaître le code exact, et que la victime reçoit aussi une notification du transfert des appels téléphoniques. L’agression ne se déroule donc pas sans que la victime s’en aperçoive, mais elle n’exige par ailleurs pas non plus de compétences techniques de piratage, ce qui fait qu’elle peut quand même être utilisée par un grand nombre d’escrocs.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici