Une nouvelle attaque abusant d’une fonctionnalité légitime de couplage d’appareils de l’application pourrait être utilisée pour pénétrer les groupes WhatsApp des employés.
Un avertissement pour les utilisateurs de WhatsApp : les cybercriminels ont découvert un moyen d’une simplicité alarmante d’accéder aux conversations d’un utilisateur en temps réel en manipulant la routine de couplage ou de liaison des appareils de l’application.
Appelé « GhostPairing » par les chercheurs de la société de sécurité Gen Digital (propriétaire de Norton, Avast, Avira et AVG), aucun mot de passe ni aucun détail de compte n’est nécessaire pour exécuter l’attaque, qui a été récemment détectée en Tchéquie.
Tout ce que l’attaquant a à faire est de persuader un utilisateur de cliquer sur un lien malveillant qui lui a été envoyé sous forme de message WhatsApp prétendant révéler une photo Facebook.
Dans la variante la plus courante de l’attaque, une fausse page apparaît qui demande à l’utilisateur de s’authentifier en saisissant son numéro de téléphone portable. Ce numéro est ensuite transmis par les attaquants à WhatsApp pour lancer la fonctionnalité « lier l’appareil via un numéro de téléphone » qui ajoute de nouveaux appareils à un compte.
WhatsApp génère un code de couplage à 8 chiffres, qui est intercepté et transmis à l’utilisateur. L’utilisateur, qui voit une nouvelle invite de couplage dans WhatsApp, saisit ce code pour confirmer le couplage. Malheureusement, cela ajoute la session de navigateur de l’attaquant en tant que « appareil de confiance ».
À moins que l’utilisateur ne devienne méfiant, la partie est terminée : l’attaquant a désormais un accès complet à son compte, à ses messages et à son historique, ainsi que la possibilité de visualiser les messages au fur et à mesure qu’ils sont envoyés et reçus.
« Une fois son appareil lié, l’attaquant n’a plus besoin d’exploiter autre chose. Il dispose des mêmes capacités que n’importe quel utilisateur lorsqu’il connecte WhatsApp Web sur son propre ordinateur », ont déclaré les chercheurs de Gen Digital. « Tout se passe dans les limites de l’ensemble des fonctionnalités prévues par WhatsApp. »
Pire encore, les attaquants peuvent également envoyer des messages usurpant l’identité de l’utilisateur pour diffuser la campagne auprès des contacts et des groupes WhatsApp de la victime.
Contournement E2EE
GhostPairing est un exemple d’attaque qui exploite l’un des plus grands attraits de WhatsApp : s’inscrire, se connecter à d’autres utilisateurs et ajouter jusqu’à quatre appareils supplémentaires à un compte est incroyablement pratique. C’est l’une des raisons pour lesquelles WhatsApp est devenu si populaire. Tout ce dont les utilisateurs ont besoin pour s’inscrire est un numéro de téléphone, sans nom d’utilisateur ni mot de passe à retenir.
Un autre inconvénient est que l’application repose sur la confidentialité du cryptage de bout en bout (E2EE) dans laquelle les clés privées utilisées pour sécuriser les messages sont stockées sur l’appareil lui-même. Cela devrait rendre impossible l’écoute des messages privés sans avoir un accès physique à l’appareil ou sans l’infecter à distance avec des logiciels malveillants.
GhostPairing démontre qu’une attaque d’ingénierie sociale peut contourner ce problème. Fait intéressant, bien que toujours possible, l’attaque est moins pratique lorsqu’on demande aux utilisateurs de s’associer via des codes QR. Cela rassure les utilisateurs d’applications de messagerie telles que Signal, qui autorise uniquement les demandes de couplage via des codes QR.
Défendre WhatsApp
Les utilisateurs peuvent vérifier quels appareils sont couplés via WhatsApp via . Un lien vers un appareil malveillant apparaîtra ici. Même s’il a accès au compte WhatsApp d’un utilisateur, l’attaquant ne peut pas révoquer l’accès à son appareil, qui doit être initié par l’appareil principal. Une autre astuce consiste à activer la vérification du code PIN en deux étapes. Cela n’empêchera pas l’attaquant d’accéder aux messages, mais signifiera qu’il ne pourra pas modifier l’adresse e-mail principale.
La menace pour les entreprises réside dans le fait qu’un grand nombre d’employés utilisent WhatsApp et communiquent dans des groupes de discussion plus larges. Le risque est que beaucoup d’entre eux ne soient pas documentés et soient donc négligés par les équipes de sécurité.
La recommandation est de supposer qu’il existe plusieurs groupes et d’éduquer les utilisateurs pour qu’ils signalent le phishing suspect ou le spam provenant de numéros inconnus. Le message doit être clair : la messagerie WhatsApp peut sembler privée, mais l’application elle-même présente des failles que les attaquants peuvent exploiter.
GhostPairing intervient quelques semaines seulement après que des chercheurs universitaires ont découvert une faille majeure dans WhatsApp qui leur a permis de découvrir les numéros de téléphone mobile des 3,5 milliards d’utilisateurs mondiaux de l’application. Plus tôt cette année, Meta a découvert une faiblesse dans l’application WhatsApp Desktop qui pourrait être utilisée pour cibler les utilisateurs Windows.
Et ce n’est pas seulement WhatsApp ; des chercheurs ont récemment découvert un piratage affectant l’entreprise qui a créé une version modifiée de Signal destinée à être utilisée par de hauts responsables politiques américains.
