Une nouvelle attaque par le piratage de comptes en ligne a fait son apparition, ciblant cette fois-ci WhatsApp. L’agence israélienne chargée de la cybersécurité a averti ses citoyens de cette attaque, qui peut souvent être menée à leur insu, et sans action particulière de leur part. L’attaquant n’a besoin que du numéro de téléphone de la victime.
D’abord documenté par des experts en sécurité l’année dernière, la faille de sécurité frappe maintenant le grand public. La semaine dernière, ZDNet a annoncé que l’Autorité Nationale Israélienne de Cybersécurité avait émis un avertissement indiquant que les utilisateurs de WhatsApp risquaient de perdre le contrôle de leurs comptes.
Ce piratage utilise la tendance des utilisateurs à ne pas modifier les informations d’accès par défaut au niveau des numéros de messagerie vocale des téléphones portables. Le cybercriminel demande à enregistrer le numéro de téléphone de la victime dans l’application WhatsApp sur son propre téléphone. Par défaut, WhatsApp envoie un code de vérification à six chiffres, via un message SMS, au numéro de téléphone de la victime, pour vérifier que la personne à l’origine de la demande est bien le propriétaire.
En principe, la victime devrait tomber sur le message l’avertissant ainsi qu’une action malveillante. L’attaquant évite cela en lançant l’attaque à un moment bien précis durant lequel la victime ne peut pas répondre à son téléphone, par exemple au bon milieu de la nuit ou en plein vol. De nombreux utilisateurs peuvent même avoir leur téléphone réglé sur “Ne pas déranger” pendant cette période.
L’attaquant n’a pas accès au téléphone de la victime et ne peut donc pas voir le code lui permettant de l’utiliser. WhatsApp propose alors d’appeler le numéro de la victime avec un message téléphonique automatisé lisant le code. Comme la victime ne peut pas prendre d’appels, le message automatisé se retrouve sur la messagerie vocale.
L’attaquant exploite ensuite une faille de sécurité sur de nombreux réseaux d’opérateurs, qui fournissent des numéros de téléphone génériques que les utilisateurs peuvent appeler pour accéder à la messagerie vocale. La seule information d’identification requise pour entendre la messagerie vocale est un code PIN à quatre chiffres. De nombreux opérateurs le définissent par défaut via un numéro assez simple, tel que 0000 ou 1234. Ces mots de passe par défaut sont facilement découverts en ligne.
Lorsque l’attaquant utilise le code PIN par défaut pour accéder à la messagerie vocale de la victime, il peut alors avoir accès au code en écoutant le message, puis le rentrer sur son propre appareil, en transférant le numéro de téléphone de la victime vers son propre compte WhatsApp.
Pour conclure l’opération, l’attaquant peut ensuite activer la vérification en deux étapes, qui est une fonctionnalité optionnelle proposée par WhatsApp depuis 2017. Pour ce faire, l’utilisateur doit définir un code confidentiel personnalisé, qu’il doit ensuite ressaisir s’il souhaite revérifier leur numéro de téléphone. Activer cette fonction empêche la victime de reprendre le contrôle sur son propre numéro de téléphone.
L’expert cybersécurité Martin Vigo a exploré et développé le thème des attaques par messages téléphoniques automatisés lors d’une conférence à DEF CON en août dernier, intitulée “Compromettre les comptes en ligne en piratant les systèmes de messagerie vocale“. Il est allé au-delà des simples codes confidentiels de messagerie vocale par défaut, en utilisant un script Python qui a lancé des attaques par force brute sur les comptes de messagerie vocale à l’aide de l’API de téléphonie, basée dans le Cloud, Twilio.
Durant cette conférence, il a appelé plusieurs services en ligne qui, selon lui, étaient vulnérables vis à vis de telles attaques. PayPal, Netflix, Instagram et LinkedIn prennent en charge la réinitialisation du mot de passe par appel téléphonique automatisé, a-t-il déclaré, ajoutant qu’Apple, Google, Microsoft et Yahoo prennent en charge l’utilisation de la messagerie vocale automatisée pour l’authentification à deux facteurs (2FA).
Dans un article de blog décrivant son intervention, il a déploré le fait que nous utilisions encore des technologies vieilles de 30 ans pour sécuriser des systèmes sensibles.
Comment se protéger des hackers sur WhatsApp et sur d’autres comptes ?
L’utilisation d’application 2FA (telle que Sophos Authenticator, qui est également incluse dans notre logiciel gratuit Sophos Mobile Security pour Android et iOS) réduit considérablement le risque, car ces applications d’authentification mobile ne reposent pas sur des échanges liées à des numéros de téléphone.
Si vous devez utiliser un service qui repose sur des messages vocaux automatisés, définissez un code PIN fort pour accéder à votre messagerie vocale.
Enfin, activez la vérification en deux étapes sur votre compte WhatsApp en ouvrant WhatsApp et en sélectionnant Réglages>Compte>Vérification en deux étapes>Activer.
Billet inspiré de Attackers use voicemail hack to steal WhatsApp accounts, sur Sophos nakedsecurity.
Qu’en pensez-vous ? Laissez un commentaire.