Certains articles de veille peuvent faire l'objet de traduction automatique.
Un chercheur a repéré un moyen trivial de déclencher la désactivation de compte pour n’importe quel compte WhatsApp cible. Fait intéressant, les responsables de WhatsApp ont rapidement corrigé les failles de sécurité peu de temps après son rapport, rendant les désactivations malveillantes de comptes à distance quelque peu difficiles.
La menace de désactivation de compte à distance WhatsApp appliquée à tout le monde
Dans un tweet récent, le chercheur en sécurité d’ESET Jack Moore a souligné comment il pouvait désactiver n’importe quel compte WhatsApp en quelques minutes sans autre vérification.
La faille n’existait pas à cause d’un code lapse ou d’une vulnérabilité. Au lieu de cela, il existait dans la façon dont un adversaire abuse d’une procédure par ailleurs simple – quelque chose que la plupart des pirates informatiques adorent faire !
Plus précisément, WhatsApp permettait aux utilisateurs de verrouiller rapidement leurs comptes WhatsApp en demandant la suppression du compte suite à la perte ou au vol d’un appareil. La procédure demandait simplement à l’utilisateur d’envoyer un e-mail à l’assistance WhatsApp, en mentionnant le numéro WhatsApp souhaité au format international, avec la phrase « Perdu/Volé : Veuillez désactiver mon compte ». Le service commencerait alors la désactivation du compte immédiatement.
Cependant, c’est là que le problème existait. Comme Moore l’a souligné, WhatsApp n’a utilisé aucune autre vérification avant de lancer la désactivation du compte. Ainsi, un adversaire pourrait abuser de cette fonctionnalité en envoyant un e-mail avec le numéro de téléphone de l’utilisateur cible à partir de n’importe quelle adresse e-mail aléatoire. (WhatsApp ne vérifiera pas non plus l’adresse e-mail.)
Pour démontrer le problème, Moore a essayé d’envoyer un tel e-mail pour son propre compte WhatsApp. Il a ensuite rapidement obtenu la réponse de WhatsApp, confirmant la désactivation du compte.
Bug corrigé sournoisement et rapidement
Suite au tweet de Moore, Davey Winder de Forbes a également souligné la question dans son poste, en veillant à ce que la question attire l’attention. Et il semble que les choses aient fonctionné comme prévu, car WhatsApp a tranquillement mais rapidement commencé à corriger le problème.
Selon les mises à jour répertoriées dans le message, WhatsApp a introduit des changements dans le fonctionnement de la procédure. Jusqu’au moment de la rédaction de cette histoire, WhatsApp a apparemment commencé à envoyer des messages de confirmation aux utilisateurs demandant la désactivation du compte. En plus de confirmer la bonne réception des demandes, le message demande aux utilisateurs d’envoyer une preuve de propriété du compte, telle qu’une copie de la facture ou du contrat du téléphone.
On ne sait toujours pas si WhatsApp prévoit d’autres mesures pour que la procédure de désactivation de compte reste efficace, rapide et sûre pour les utilisateurs.
Néanmoins, Moore conseille aux utilisateurs d’appliquer une authentification à deux facteurs à tous les comptes WhatsApp, limitant la demande de désactivation de compte à envoyer à partir de l’adresse e-mail 2FA respective. En effet, avec la vérification de la propriété du compte de WhatsApp, l’ajout de 2FA pourrait encore renforcer la sécurité des comptes des utilisateurs.
Faites-nous part de vos réflexions dans les commentaires.
Poster un commentaire