Vous pensez que le cryptage des messages de WhatsApp le rend sécurisé? Voici plusieurs façons dont votre WhatsApp peut être piraté.
WhatsApp offre de nombreuses fonctionnalités de sécurité comme le cryptage de bout en bout, par exemple, qui tentent de garder vos messages privés. Cependant, aussi bonnes que soient ces mesures de sécurité, WhatsApp n’est toujours pas à l’abri des piratages, qui peuvent finir par compromettre la confidentialité de vos messages et contacts.
Ne nous croyez pas sur parole: allez voir combien de guides « Comment pirater WhatsApp » vous trouverez sur Internet.
Comme savoir est la moitié de la bataille, si nous sommes simplement conscients des vulnérabilités, nous pouvons alors prendre des mesures concrètes pour éviter de nous comprendre. À cette fin, voici les principales façons dont WhatsApp peut être piraté, dont vous devriez vous méfier.
1. Exécution de code à distance via GIF
En octobre 2019, le chercheur en sécurité Awakened a révélé une vulnérabilité dans WhatsApp qui permettait aux pirates de prendre le contrôle de l’application à l’aide d’une image GIF. Le hack fonctionne en tirant parti de la façon dont WhatsApp traite les images lorsque l’utilisateur ouvre la vue Galerie pour envoyer un fichier multimédia.
Lorsque cela se produit, l’application analyse le GIF pour afficher un aperçu du fichier. Les fichiers GIF sont spéciaux car ils ont plusieurs images codées. Cela signifie que le code peut être masqué dans l’image.
Si un pirate envoyait un GIF malveillant à un utilisateur, il pourrait compromettre l’historique complet des discussions de l’utilisateur. Les pirates seraient en mesure de voir qui l’utilisateur avait envoyé des messages et ce qu’ils avaient dit. Ils peuvent également voir les fichiers, photos et vidéos des utilisateurs envoyés via WhatsApp.
La vulnérabilité a affecté les versions de WhatsApp jusqu’à 2.19.230 sur Android 8.1 et 9. Heureusement, Awakened a révélé la vulnérabilité de manière responsable, puis WhatsApp a corrigé le problème. Donc, pour éviter que votre WhatsApp ne soit piraté à travers de telles failles, assurez-vous de mettre à jour votre WhatsApp régulièrement.
2. L’attaque d’appel vocal Pegasus
Une autre vulnérabilité WhatsApp découverte au début de 2019 était le piratage du logiciel malveillant d’appel vocal Pegasus.
Cette attaque effrayante a permis aux pirates d’accéder à un appareil simplement en passant un appel vocal WhatsApp à leur cible. Même si la cible ne répondait pas à l’appel, l’attaque pouvait toujours être efficace. La cible peut même ne pas savoir qu’un logiciel malveillant a été installé sur son appareil.
Le hack a fonctionné grâce à une méthode connue sous le nom de débordement de tampon. C’est là qu’une attaque met délibérément tellement de code dans une petite mémoire tampon qu’elle « déborde » et écrit du code dans un emplacement auquel elle ne devrait pas pouvoir accéder.
Naturellement, lorsque le pirate peut exécuter du code dans un emplacement qui devrait être sécurisé, il peut prendre d’autres mesures malveillantes.
Après la première étape, l’attaquant a ensuite installé un logiciel espion plus ancien et bien connu appelé Pegasus qui permet aux pirates de collecter des données sur les appels téléphoniques, les messages, les photos et les vidéos. En fait, le logiciel espion leur permet même d’activer les caméras et les microphones des appareils pour prendre des enregistrements.
Cette vulnérabilité s’applique aux appareils Android, iOS, Windows 10 Mobile et Tizen. Il a été utilisé par la société israélienne NSO Group, par exemple, qui a été accusée d’espionner le personnel d’Amnesty International et d’autres militants des droits humains. Après la nouvelle du piratage, l’équipe de sécurité de WhatsApp a mis à jour l’application pour la protéger de cette attaque.
Si vous exécutez WhatsApp version 2.19.134 ou antérieure sur Android ou version 2.19.51 ou antérieure sur iOS, assurez-vous d’avoir mis à jour votre application.
3. Attaques socialement conçues
Recherchez n’importe quel guide de piratage WhatsApp, et vous auriez du mal à ne pas rencontrer d’attaques d’ingénierie sociale, qui exploitent la psychologie humaine pour voler des données ou diffuser de la désinformation.
La société de sécurité, Check Point Research, a révélé un tel exemple de cette attaque, qu’ils ont nommé FakesApp. D’une manière similaire à d’autres escroqueries d’ingénierie sociale, cette attaque a fonctionné en permettant aux pirates d’abuser de la fonction de citation dans une discussion de groupe, puis de modifier le texte de la réponse d’une autre personne.
Essentiellement, les pirates pourraient planter de fausses déclarations qui semblent provenir d’autres utilisateurs légitimes.
Les chercheurs pourraient le faire en décryptant les communications WhatsApp. Cela leur a permis de voir les données envoyées entre les versions mobile et Web de WhatsApp. À partir de là, ils pourraient changer les valeurs dans les discussions de groupe.
Ensuite, ils pouvaient usurper l’identité de vraies personnes, en envoyant des messages qui semblaient provenir d’eux. Ils pourraient également modifier le texte des réponses. Naturellement, cela pourrait être utilisé de manière inquiétante pour propager des escroqueries ou de fausses nouvelles.
Même si la vulnérabilité a été révélée en 2018, elle n’avait toujours pas été corrigée au moment où les chercheurs ont pris la parole lors de la conférence Black Hat à Las Vegas en 2019, selon ZNet. Il devient donc essentiel que vous appreniez à reconnaître les escroqueries WhatsApp et à vous rappeler périodiquement ces drapeaux rouges.
4. Détournement de fichiers multimédias
Le détournement de fichiers multimédias affecte à la fois WhatsApp et Telegram. Cette attaque tire parti de la façon dont les applications reçoivent des fichiers multimédias tels que des photos ou des vidéos et écrivent ces fichiers sur le stockage externe d’un appareil.
L’attaque commence par l’installation de logiciels malveillants cachés dans une application apparemment inoffensive. Cette application contrefaite peut ensuite surveiller tous les fichiers entrants sur Telegram ou WhatsApp. Et lorsqu’un nouveau fichier arrive, le logiciel malveillant peut facilement échanger le vrai fichier contre un faux.
Symantec, la société qui a découvert le problème en 2019, a suggéré qu’il pourrait être utilisé pour arnaquer les gens ou pour diffuser de fausses nouvelles. WhatsApp a depuis mis à jour de nombreuses fonctionnalités à l’écran et définitions de sécurité qui rendent le détournement de média difficile.
Cela dit, c’est une bonne idée de réduire le risque de détournement de fichiers multimédias en désactivant la fonctionnalité qui enregistre vos fichiers multimédias dans un stockage externe.
Pour ce faire, dirigez-vous vers Paramètres > Chats et faites défiler jusqu’aux options des paramètres de chat. À partir de là, désactivez l’option Visibilité des médias et vous serez défini.
Pour rester encore plus conscient des fichiers multimédias que vous téléchargez via vos chats, vous pouvez également désactiver la fonction de téléchargement automatique sur WhatsApp.
En fait, c’est une bonne pratique si vous voulez éviter les médias provenant de sources inconnues. Encore une fois, dirigez-vous vers Paramètres et cliquez sur Stockage et données.
Dans la section Téléchargement automatique des médias, vous pouvez ensuite désactiver le téléchargement automatique pour tous les fichiers multimédias pour trois scénarios différents (Wi-Fi, Données mobiles et Itinérance).
5. Facebook pourrait espionner les discussions WhatsApp
Dans un article de blog officiel, WhatsApp a affirmé qu’en raison de sa technologie de cryptage de bout en bout, il est impossible pour Facebook de lire le contenu WhatsApp.
Le développeur Gregorio Zanon a déclaré dans un article de Medium que ce n’est pas strictement vrai. Le fait que WhatsApp utilise un cryptage de bout en bout ne signifie pas que tous les messages sont privés. Sur un système d’exploitation comme iOS 8 et supérieur, les applications peuvent accéder aux fichiers dans un « conteneur partagé ».
Les applications Facebook et WhatsApp utilisent le même conteneur partagé sur les appareils. Et bien que les chats soient cryptés lorsqu’ils sont envoyés, ils ne sont pas nécessairement cryptés sur l’appareil d’origine. Cela signifie que l’application Facebook pourrait potentiellement copier des informations de WhatsApp.
Il n’y a aucune preuve que Facebook ait utilisé des conteneurs partagés pour afficher des messages WhatsApp privés. Mais le potentiel est là. Même avec un cryptage de bout en bout, vos messages peuvent ne pas être privés à partir du réseau de capture de Facebook.
6. Applications tierces payantes
Vous seriez surpris du nombre d’applications légales payantes qui ont vu le jour sur le marché, qui existent uniquement pour pirater des systèmes sécurisés. Il est très facile d’effectuer des piratages WhatsApp secrets grâce à cette méthode.
Des applications comme Spyzie et mSPY peuvent facilement pirater votre compte WhatsApp pour voler vos données privées. Tout ce que vous avez à faire est d’acheter l’application, de l’installer et de l’activer sur le téléphone cible.
Vous pouvez ensuite simplement vous asseoir et vous connecter au tableau de bord de votre application à partir du navigateur Web et espionner les données privées de WhatsApp.
Il suffit de dire que nous conseillons fortement à tout le monde de s’abstenir d’utiliser ces applications à des fins malveillantes.
7. Faux clones WhatsApp
L’utilisation de faux clones de sites Web pour installer des logiciels malveillants est une vieille stratégie de piratage encore mise en œuvre par les cybercriminels du monde entier. Ces sites clones sont connus sous le nom de sites Web malveillants.
La tactique de piratage illicite a maintenant également été adoptée pour pénétrer dans les systèmes Android. Pour effectuer un piratage WhatsApp sur votre compte, un attaquant tentera d’installer un clone de WhatsApp, qui pourrait ressembler de manière frappante à l’application d’origine.
Pour vous protéger de ce piratage WhatsApp sur votre Android, il est donc important que vous n’installiez aucune application provenant de sources non fiables.
8. Version Web de WhatsApp
Aussi pratique que soit la version Web de WhatsApp, elle peut être facilement utilisée pour pirater vos chats WhatsApp. Ce danger se présente particulièrement lorsque vous utilisez WhatsApp Web sur l’ordinateur de quelqu’un d’autre.
Ainsi, si vous ou le propriétaire de l’ordinateur avez coché la case Rester connecté lors de la connexion, votre compte WhatsApp restera connecté même après avoir fermé le navigateur. Le propriétaire de l’ordinateur peut alors accéder à vos informations sans trop de difficulté.
Vous pouvez éviter cela en vous assurant de vous déconnecter de WhatsApp Web avant de partir, ainsi que de décocher la case de connexion permanente.
Mais comme on dit, mieux vaut prévenir que guérir. Votre meilleure approche pour éviter toute prise de contrôle illégale de compte sera d’éviter d’utiliser autre chose que votre ordinateur personnel pour la version Web de WhatsApp.
9. Exportation de vos discussions
Ce n’est pas la méthode traditionnelle que vous trouverez dans les guides « comment pirater WhatsApp de quelqu’un ». Celui-ci nécessite simplement un accès physique à votre smartphone.
Et non, le pirate n’a pas besoin de beaucoup de temps avec votre téléphone non plus; Quelques secondes suffisent. Cela leur donne suffisamment de temps pour exporter vos messages vers un emplacement auquel ils peuvent accéder ultérieurement. Il peut s’agir de n’importe quoi : un compte de messagerie, un stockage en nuage ou même une application de messagerie.
Une fois qu’un pirate a accès à votre téléphone, tout ce qu’il a à faire est de passer à un chat spécifique, de cliquer sur l’option Exporter les discussions et de sélectionner l’emplacement vers lequel il souhaite déplacer l’historique de vos messages.
La solution ? La façon infaillible de vous protéger est de garder votre téléphone loin des mains inconnues à tout moment. De plus, vous avez la possibilité d’activer le verrouillage par empreinte digitale pour votre WhatsApp. Voici comment procéder :
- Dirigez-vous vers Comptes > Confidentialité > Verrouillage par empreinte digitale.
- Activez l’option Déverrouiller avec empreinte digitale et définissez l’activation du verrouillage sur Immédiatement.
Désormais, chaque fois que votre WhatsApp est récupéré après l’inactivité, vos empreintes digitales seront nécessaires pour lancer l’application.
10. Enregistreurs de frappe
Un enregistreur de frappe est un logiciel conçu pour enregistrer tout ce que vous tapez sur votre ordinateur ou votre smartphone. Comme vous pouvez probablement le deviner, le pirate peut l’utiliser pour une variété de choses néfastes, telles que l’importation de mots de passe et d’informations essentielles à partir de documents ou d’e-mails, etc.
Donc, si quelqu’un a réussi à installer un enregistreur de frappe sur votre PC ou votre smartphone, il est prudent de supposer que vos messages WhatsApp, comme toutes vos autres informations personnelles, ont été secrètement compromis par un pirate informatique.
Bien qu’une discussion détaillée sur les enregistreurs de frappe soit hors du cadre de cet article, vous pouvez prendre certaines mesures pour vous protéger.
Par exemple, s’abstenir de donner vos appareils à des gens, d’utiliser des programmes antivirus bien connus et de mettre régulièrement à jour le logiciel de votre appareil sont des moyens remarquables de vous protéger d’un enregistreur de frappe et d’éviter que vos messages WhatsApp soient piratés.
11. Escroqueries de renvoi d’appel
Une nouvelle arnaque d’appel WhatsApp a fait des ravages en 2023, permettant aux pirates de compromettre votre compte WhatsApp. Le hack fonctionne en appelant le pirate et en vous convainquant de passer un appel à un numéro commençant par un code d’interface homme-machine (MMI), c’est-à-dire les numéros qui commencent par un code haché ou un code en étoile.
Habituellement, un numéro à 10 chiffres suit également ce code. Par exemple, il s’agira d’un nombre comme **67*<numéro à 10 chiffres> ou *405*<numéro à 10 chiffres>.
Dès que vous composez le numéro, la fonction de transfert d’appel de votre téléphone sera activée et tous vos appels seront envoyés à l’attaquant. C’est un travail assez simple pour le pirate d’ici.
Tout ce qu’ils ont à faire est de réenregistrer votre compte sur WhatsApp via un appel téléphonique (au lieu d’un OTP). C’est un grave problème de sécurité pour WhatsApp.
Alors, assurez-vous de ne pas prendre d’appels ou d’effectuer des actions sur des appels d’étrangers qui pourraient peut-être être un pirate informatique en ligne.
Nous vous suggérons également d’activer l’authentification à deux facteurs et de renforcer un peu plus la sécurité. Mais surtout, assurez-vous de rester au courant des dernières tendances et mises à jour en matière de cybersécurité.
Restez conscient des problèmes de sécurité sur WhatsApp
Ce ne sont là que quelques exemples de la façon dont votre WhatsApp peut être piraté. Bien que WhatsApp ait corrigé certains de ces problèmes depuis leur divulgation, certains points faibles persistent, il est donc important de rester vigilant.
Pour en savoir plus sur la sécurité de WhatsApp, vous devez rafraîchir vos connaissances sur les menaces de sécurité WhatsApp.