Suite à une vague de piratage de comptes WhatsApp, l’agence de cybersécurité israélienne a publié une alerte à l’échelle nationale mardi dernier. L’alerte provenant du Centre Israélien de Cybersécurité avertit les utilisateurs d’une nouvelle méthode de piratage des comptes WhatsApp exploitant les répondeurs mis en place par les opérateurs téléphoniques.
Cette méthode avait été détaillée l’année dernière par Ran Bar-Zik, un développeur israélien travaillant pour la société Oath.
L’idée principale de l’attaque est d’exploiter l’accès au répondeur de la cible, si l’utilisateur n’a pas changé le mot de passe d’accès à celui-ci. La plupart du temps, ceux-ci sont généralement laissés sur 0000 ou 1234.
La technique est utilisée lorsque l’attaquant tente d’ajouter un numéro de téléphone appartenant à la cible sur une nouvelle installation de WhatsApp sur un nouveau téléphone.
Suivant la procédure classique, le service Whatsapp enverra un mot de passe à usage unique via SMS sur le numéro de téléphone de la cible. Ce genre d’initiative pourrait alerter l’utilisateur d’une attaque en cours, mais Bar-Zik explique qu’un attaquant pourrait facilement contourner ce problème en réalisant ce type d’attaque pendant la nuit ou en s’assurant que la cible n’ait pas accès à son téléphone.
« C’est un problème bien connu et je ne pense pas que cela soit la faute de Facebook »
Après plusieurs tentatives de validation du mot de passe à usage unique envoyé par SMS, WhatsApp tentera alors de réaliser une vérification vocale. WhatsApp appellera alors le numéro de l’utilisateur et une voix dictera le mot de passe à usage unique. Si l’attaquant a bien calculé son attaque et que la victime ne peut toujours pas répondre à son téléphone, alors le message contenant le mot de passe finira sur le répondeur.
De nombreux opérateurs permettent un accès à distance aux répondeurs de leurs abonnés. Pour l’attaquant, il suffit de rentrer le bon code PIN afin de récupérer l’enregistrement du mot de passe à usage unique et de l’entrer sur son installation de WhatsApp. Cela permet de lier le téléphone de la victime à l’appareil de l’attaquant, et de prendre le contrôle du compte utilisateur.
Une fois que l’attaquant a pris le contrôle du compte WhatsApp, il ou elle peut activer la vérification en deux étapes, ce qui empêche le titulaire du numéro de reprendre le contrôle sur son compte WhatsApp sans un code à six chiffres que seul l’attaquant connaît.
Dans leur alerte, les autorités israéliennes recommandent d’utiliser un mot de passe fort sur le compte permettant d’accéder au répondeur ou d’activer la vérification en deux étapes pour son compte WhatsApp, ce qui devrait empêcher de permettre à un attaquant de prendre le contrôle du compte. L’alerte a été diffusée par les autorités israéliennes, mais d’autres utilisateurs à travers le monde pourraient être vulnérables à ce type d’attaques.
« C’est un problème bien connu et je ne pense pas que cela soit ici la faute de Facebook, mais plutôt celle des opérateurs télécoms et de leurs lacunes en matière de sécurisation des répondeurs » explique Bar-Zik à ZDNet.com
Une piste pour mieux contrer ce type d’attaque serait d’éviter la réutilisation des mêmes mots de passe d’accès pour tous leurs clients. Utiliser des identifiants personnels pour déterminer les mots de passe (date de naissance par exemple) permettrait d’éviter ce problème. La méthode est imparfaite, mais toujours meilleure que d’utiliser 0000 ou 1234.
Cet été, le chercheur en sécurité Martin Vigo a détaillé cette technique et montré comment celle-ci pouvait être exploitée pour pirater bien plus que de simples comptes WhatsApp. Les comptes Facebook, Google, Twitter, WordPress, Ebay ou encore Paypal sont également vulnérables. Il a même développé un outil spécial afin d’automatiser ces attaques, baptisées Ransombile.
Vos informations ne seront pas partagées