Une nouvelle tactique permettant de pirater un compte WhatsApp a été mise en lumière. Elle consiste à exploiter une fonctionnalité légitime de la messagerie en manipulant l’utilisateur. La cyberattaque repose d’abord sur l’envoi d’un message.
Les chercheurs de Gen ont découvert « une nouvelle campagne de prise de contrôle de comptes » sur WhatsApp. Pour prendre possession d’un compte, les cybercriminels vont exploiter une fonctionnalité de la messagerie de Meta, à savoir l’appairage d’appareils. Afin de tirer profit de cette fonction, les pirates doivent d’abord manipuler la cible. La stratégie a été baptisée « GhostPairing », soit « appairage fantôme » par les chercheurs.
A lire aussi : pourquoi vous ne devez surtout pas ouvrir ce mystérieux fichier ZIP sur WhatsApp
« Hé, je viens de trouver ta photo ! »
L’offensive débute de façon très classique par l’envoi d’un message. Pour envoyer celui-ci, les pirates se servent d’un compte WhatsApp déjà piraté en amont. Le message peut donc provenir de votre partenaire de vie, d’un membre de votre famille, d’un ami ou encore d’un collègue. Le message doit susciter la réaction de la victime. C’est pourquoi les attaquants optent bien souvent pour « Hé, je viens de trouver ta photo ! ».
« Le contenu variait légèrement, mais la structure restait la même. Les messages étaient brefs, mentionnaient généralement une photo », explique Gen dans son rapport.
Intriguée, la victime va ouvrir le message. Dans celui-ci, elle trouvera un lien « qui s’affiche sous forme d’aperçu, à la manière de Facebook ». De facto, la cible sera persuadée que le lien va la rediriger sur une photo d’elle publiée sur Facebook. L’internaute va cliquer sur ce lien pour découvrir de quelle photo de lui il s’agit. Le réseau social lui demande alors de s’identifier pour pouvoir consulter la photo. Il s’agit évidemment d’une fausse page qui imite l’interface de Facebook. On y retrouve le logo de la plateforme et tous les boutons habituels.
« Les gens s’attendent à ce que Facebook demande une forme de confirmation de temps à autre. Voir un bouton de connexion ou une étape de vérification paraît donc naturel », indiquent les chercheurs.
Comme toujours, il est possible de se rendre compte de la supercherie en consultant l’URL de la page. En l’occurence, des noms de domaines comme photobox[.]vie, postsphoto[.]vie, votrephoto[.]vie, photopost[.]live, votrephoto[.]monde, top-foto[.]vie, et fotoface[.]top ont été utilisés. Dans l’URL, les pirates ont pris soin de glisser des mots comme « login » et « post/facepost ».
Une fonction d’appairage détournée
La fausse page va demander à l’internaute de communiquer son numéro de téléphone WhatsApp. Le site assure qu’il s’agit de la procédure normale pour se connecter à Facebook. Les pirates vont s’emparer du numéro de téléphone et la seconde partie de la cyberattaque va pouvoir commencer. Les attaquants vont entrer le numéro de téléphone dans la fonction d’apparaige de WhatsApp, qui permet d’associer un nouvel appareil à un compte existant. En d’autres termes, ils vont se servir du numéro pour demander à WhatsApp d’ajouter leur propre appareil, et leur propre navigateur, au compte de l’utilisateur. Ce processus permet de se servir d’un compte WhatsApp sur un ordinateur, que ce soit sur WhatsApp Web ou par le biais de l’application de bureau.
Evidemment, il ne suffit pas du numéro de téléphone pour associer un appareil à un compte. Par sécurité, WhatsApp va générer « un code d’association qui n’est visible que par le propriétaire du compte ». Ce code est récupéré par les pirates. Ils vont ensuite transférer ce code à la victime, toujours par le biais du faux site utilisé depuis le début de l’attaque. Le site demande à la cible de « saisir ce code dans WhatsApp pour confirmer la connexion et voir la photo ».
Toujours désireuse de voir cette fameuse photo, la victime va obéir et saisir le code dans WhatsApp. Du point de vue de la cible, le processus ne sert qu’à se connecter à Facebook en passant par WhatsApp. C’est là que le piège se referme sur l’utilisateur. Le pirate est désormais libre d’utiliser le compte WhatsApp de la cible à sa guise. Du « point de vue de WhatsApp, le propriétaire du compte vient d’approuver un nouvel appareil lié en utilisant le code correct ». Il n’y a donc aucune raison que la messagerie se rende compte de la cyberattaque.
A lire aussi : 3,2 millions de numéros WhatsApp sont en vente sur le dark web
Une cyberattaque redoutable et invisible
Le « navigateur de l’attaquant » est désormais reconnu comme un appareil de confiance par WhatsApp. Le compte, désormais compromis, peut-être utilisé pour piéger d’autres internautes ou pour propager des logiciels malveillants ou des liens frauduleux. L’attaquant est en fait libre de lire l’historique des conversations déjà synchronisées, de recevoir en temps réel tous les nouveaux messages, de consulter ou télécharger les contenus multimédias (photos, vidéos, notes vocales), ou encore de voler des informations sensibles échangées dans les chats.
Alors que son compte est entre les mains d’un cybercriminel, l’utilisateur ne se rend compte d’absolument rien. Sur son smartphone, son application WhatsApp continue de fonctionner tout à fait normalement. Il peut envoyer et recevoir des messages, ou passer des appels. De « nombreuses victimes ignorent qu’un second appareil a été ajouté en arrière-plan, ce qui rend l’escroquerie d’autant plus dangereuse », souligne le rapport de Gen. L’agence de cybersécurité de l’Inde indique que la tactique du « GhostPairing » est susceptible d’être activement exploitée par des groupes criminels.
Comment se protéger des attaques « GhostPairing »?
Pour éviter de tomber dans le piège, méfiez-vous d’abord des messages indiquant qu’une photo de vous a été publiée sur Facebook. C’est l’une des tactiques les plus éculées des pirates. Elle remonte au début des années 2010, à l’époque où Facebook est devenu incontournable. Si vous recevez un message de cet acabit de la part d’un proche, contactez-le sur une autre plateforme, ou par SMS, pour lui demander si son compte WhatsApp a été piraté.
Surtout, prenez le temps de vérifier quels appareils sont connectés à votre compte WhatsApp. Cette vérification permet de s’assurer qu’aucun navigateur inconnu n’a le droit d’accéder à votre messagerie à votre insu. Pour ça, rendez-vous dans l’application WhatsApp, puis dans Paramètres et dans Appareils connectés. Vous apercevrez ensuite la liste de tous les appareils qui sont connectés à votre compte. Déconnectez ceux que vous ne connaissez pas.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.
Source :
Gen Digital