[Dossier] Sécurité sur les réseaux sociaux : comprendre toutes les techniques de hacking WhatsApp et les contre-mesures appropriées
Réseaux sociaux ne rythment plus uniquement avec jeunesse de nos jours. Tout le monde s’y met au point où le numéro WhatsApp est déjà requis pour des formulaires et procédures administratives officielles. Au regard son intérêt grandissant, des hackers y ont aussi établi leurs nids et les techniques de piratage vont bon train. Comment procèdent-ils et comment s’en prémunir ? Je vous explique tout.
Techniques de hacking
Attaques courantes
1. Vol de numéro WhatsApp par phishing
Le phishing est une forme populaire d’ingénierie sociale qui implique une manipulation psychologique et une tromperie ciblant des individus par le biais d’e-mails, de SMS, d’appels téléphoniques et d’autres formes de communication. Le but du pirate est d’inciter sa proie à lui révéler des informations confidentielles qu’elles soient d’ordre financières, d’identifiants de connexion au système ou d’autres informations sensibles.
Dans le cas de WhatsApp, le pirate enregistre votre numéro sur son appareil et au moment de faire vérifier le code requis dans le processus d’initialisation de WhatsApp, il fera usage de ses techniques de manipulation afin que vous le lui communiquez et qu’il accède à votre compte. Le « WhatsApp Forward Call » est une technique particulièrement efficace en ce sens.
Le transfert d’appel WhatsApp ou « WhatsApp Forward Call » est une méthode qui, lorsqu’elle est utilisée pourrait dérouter n’importe qui ; il peut s’agir tout de même d’un appel, apparemment banal surtout si on est très connu et prêt à recevoir des appels entrants pouvant venir de partout. Pire encore, avec peut être un indicatif régional étranger. Mais attention, pourquoi un inconnu ou le nouveau numéro auquel vous essayez de répondre à peine en liaison avec vous, vous incite à suivre ses instructions quel que soit ce qu’il vous a promis ?
Le principe de cette technique est donc simple : vous recevez un message, un e-mail ou un appel téléphonique qui vous incite à composer un numéro avec un code d’interface homme-machine. Dès que vous le faites, vos appels sont automatiquement transférés vers le numéro de l’attaquant. Parvenu à cette étape, l’attaquant a la possibilité d’installer WhatsApp, enregistrer votre numéro et demander un code de vérification par appel téléphonique.
2. WhatsApp web
Pour télécharger et exploiter facilement des fichiers sur ordinateur, ou simplement profiter d’une meilleure orgonomie offerte par un écran et un clavier plus larges, WhatsApp Web représente un véritable atout. Cependant, la mauvaise habitude des hackers de voir des inconvénients derrière des avantages, est telle que cette option représente désormais un risque notamment lorsque vous utilisez un ordinateur appartenant à quelqu’un d’autre ou s’il est partagé (dans le couple par exemple). Dans ce cas, il s’agira surtout d’un oubli ou d’une négligence lorsqu’avant la fermeture du navigateur, vous ne preniez pas la peine de vous déconnecter. En le faisant et si par mégarde la case « me garder connecté » a été activée lors de la connexion, votre compte restera connecté et le prochain utilisateur n’aura qu’à en faire ce qu’il veut.
Par ailleurs, une autre méthode populaire consiste à pirater la version Web de WhatsApp en vous induisant en erreur. Plus précisément, les pirates prennent le code QR de WhatsApp Web et le placent sur une page malveillante. Si vous le scannez comme pour toute tentative de connexion à WhatsApp web, ou parfois même en faisant simplement usage de l’appareil photo de votre téléphone, ils leur est possible de voler vos identifiants de connexion et les utiliser pour pirater votre compte.
3. Attaques d’ingénierie sociale
WhatsApp peut être exploité par le biais d’attaques d’ingénierie sociale, qui exploitent la psychologie humaine pour voler des informations ou diffuser de la désinformation. Ici, il s’agit surtout de tromper la vigilance de vos contacts et de nuire à votre intégrité ou celle du cercle social auquel vous appartenez, en se faisant passer pour vous ou une source que vous connaissez.
Baptisée FakesApp par la société de sécurité appelée Check Point Research, les utilisateurs peuvent grâce à cette fonctionnalité, modifier la réponse d’une autre personne et utiliser à mauvais escient la fonction de citation. Elle leur permet d’insérer de fausses déclarations qui semblent provenir d’autres utilisateurs légitimes, le but étant de mener des campagnes de désinformation, des escroqueries, etc.
4. Usage de logiciels espions
Un logiciel espion comme son nom l’indique a vocation à suivre et rapporter à la trace ce que vous faites sur votre ordinateur. Il peut y être installé de plusieurs manières soit soi-même de manière involontaire, soit, à votre insu par une personne ayant physiquement eu accès votre téléphone comme votre conjoint, réparateur, ou toute autre personne ayant pu manipuler votre téléphone.
Dans le cas d’une installation involontaire, le logiciel espion peut être installé en cliquant sur un lien malveillant envoyé par message ou en téléchargeant un pièce jointe reçue par mail.
Dans le cas de l’installation par une tierce personne, il suffit à celle-ci d’acquérir l’une de ces nombreuses applications qui pullulent sur le marché et qui une fois installée, fonctionnent en arrière-plan sans que vous ne puissiez la voir parmi les applications installées, en cours de fonctionnement ou autre. Parmi les plus réputées, nous pouvons citer :
- KidsGuard for WhatsApp ;
- FoneMonitor App ;
- mSpy App ;
- Spyera App ;
- Hoverwatch App ;
- FlexiSPY App ;
- etc.
5. Attaques WhatsApp en provenance du DarkWeb
Comme le dit Kaspersky, le dark web est un ensemble caché de sites Internet accessibles uniquement par un navigateur spécialement conçu à cet effet. Dans un sens il peut être utilisé dans l’intention de préserver l’anonymat et la confidentialité de ses activités sur Internet mais cela n’est pas sans raison puisque dans un autre sens, il peut être utilisé pour mener des activités illégales. A ce terme s’est particulièrement greffé tout ce qu’il pourrait y avoir de condamnable : vente de drogues, d’armes et j’en passe. Dans le dark web, tout se vend, même vos informations.
Vous seriez surpris de savoir vos informations personnelles à l’instar de votre numéro de téléphone peuvent se retrouver en vent dans le dark web ? Mais supposons que vous n’y êtes pour rien. Avez-vous déjà essayer de participer à jeu pour avoir accès à internet gratuitement dans le dos de votre opérateur ? Ou encore, de vous donner le maximum de chances de gagner des produits auprès de votre super marché qui aurait lancé une promotion de grande envergure sur les réseaux sociaux et vous invitant non seulement à vous enregistrer et à partager au maximum ? Ahh oui, peut-être vous êtes pour quelque chose. Sinon, sachez que dans des cas plus avancés, il possible de « soutirer » des renseignements sur des applications de grande envergure. Facebook, X, Google, WhatsApp, Snapchat ou autres, les astuces ne manquent pas pour récolter ou vérifier l’existence adresses emails, numéros de téléphones, vos noms, parfois vos préférences, etc.
Une fois en possession de toutes ces informations, les fraudeurs peuvent accéder à des comptes WhatsApp afin d’obtenir de l’argent auprès de vous ou de votre famille.
Exploitation des failles connues sur d’anciennes versions
6. Exploitation de failles dans le traitement de certains fichiers multimédias
Une fonctionnalité extraordinaire peut cacher un vice tout aussi extraordinaire comme c’est le cas avec certaines versions d’application WhatsApp en l’occurrence, et/ou du système hôte, Android ou iOS. Jusqu’à la version 2.19.230 sur Android 8.1 et 9, l’application WhatsApp a été particulièrement affectée par une vulnérabilité dans la bibliothèque de rendu d’images et dont l’exploitation avait pour objet de tirer parti de la façon dont l’application traite les images. Toutefois, il été relevé que l’exploit était particulièrement efficace sur les versions 9 à 11 d’Android, sorties en 2020.
En effet, le format d’images GIF comporte plusieurs images codées permettant de masquer des éléments de code en son sein. Les pirates peuvent ainsi manipuler ou transformer une image GIF apparemment banale en y incorporant du code informatique malveillant. Une fois WhatsApp ayant analysé et donné un aperçu du GIF en question, le pirate peut compromettre l’historique des discussions d’un utilisateur, de voir qui l’utilisateur a contacté et ce qu’il avait dit, lire tous les autres messages, et aussi, accéder aux fichiers, photos et vidéos contenus dans l’appareil.
Les vulnérabilités en question ont été enregistrées sur les numéros CVE-2020-1890, CVE-2020-1910 et CVE-2021-24041. Et si entre 2020 et 2021 WhatsApp y a apporté des correctifs, l’on ne saurait jamais être assez prudent dans la mesure où, très peu d’utilisateurs prêtent attention à la version de leur système d’exploitation Android ou iOS ignorant sans doute le fait que toute application mobile exploite inéluctablement les ressources de son hôte. Et si quelques fois, certaines applications refusent de s’installer sur certaines versions d’Android ou iOS, c’est tout sauf anodin.
7. Attaque par appel vocal Pegasus
Pegasus, logiciel espion ou spyware conçu par la société israélienne de cyber-renseignement NSO Group, a défrayé la chronique depuis son apparition en 2016 et continue de hanter les esprits, tant il est apprécié des gouvernements et de certains acteurs politiques puissants. En 2019, il marquera davantage les utilisateurs des réseaux sociaux avec une autre attaque malveillante appelée attaque par appel vocal Pegasus.
L’attaque par appel vocal Pegasus est effectuée lorsqu’un pirate informatique souhaite accéder à un appareil simplement en passant des appels vocaux WhatsApp. Ceux-ci sont d’autant plus redoutables que même en cas de non réponse de la cible, le pirate informatique peut tout de même accéder à son appareil.
La vulnérabilité exploitée ici est due à un débordement de tampon qui survient lorsqu’un logiciel écrit des données dans une mémoire dite justement, « tampon », jusqu’à surcharger sa capacité entraînant ainsi, l’écrasement des emplacements mémoire adjacents.
Concrètement, le trop grand nombre d’informations traitées par WhatsApp au cours de l’un de ces appels était tel que l’espace mémoire alloué par le système hôte finissait par être dépassé au point de déborder vers les conteneurs voisins, en remplaçant les données qu’ils contiennent. Etant donné que Pegasus injectait du code au cours de ce type d’appel, les pirates pouvaient alors tirer parti du débordement de tampon afin de modifier la mémoire du téléphone et perturber l’exécution du programme WhatsApp ou d’en prendre le contrôle.
Ce faisant, il était donc possible de collecter des données en l’occurrence des messages, des photos, des vidéos, etc. Plus encore, il leur était possible d’enregistrer avec les caméras et les microphones des appareils piratés. Les appareils Android, iOS, Windows 10 Mobile et Tizen ont été concernés par cette vulnérabilité.
Pratiques recommandées
- Pour se prémunir du phishing, cette forme d’ingénierie sociale visant à vous manipuler et vous escroquer, prenez soin d’éviter des liens suspects et des applications non vérifiées. De plus, en cas de réception d’un message texte avec un code de vérification WhatsApp dont la procédure n’a pas été initiée par vous, et pis encore, que quelqu’un vous contacte immédiatement pour vous demander de le lui communiquer, ne le partagez sous aucun prétexte.
- Dans le cas de potentiels appels ou messages malveillants, évitez de répondre aux messages ou aux demandes de contacts inconnus. Évitez également d’appeler des numéros inconnus. Aussi, vous pouvez faire usage d’un antivirus qui aura pour effet de contrôler le trafic entrant et sortant de votre téléphone. Les QR codes par exemple, pourront être vérifiés par la solution antivirale avant d’être scannés afin de s’assurer de leur authenticité. En fonction de la solution choisie, elle pourra détecter et bloquer les textes, messages et liens malveillants, analyser les pages Web et les applications et vous alerter en cas de danger.
- Concernant WhatsApp web, vous devez vous assurer qu’aucun appareil non sollicité accède à votre compte via cette fonctionnalité de la manière suivante : ouvrez WhatsApp sur votre téléphone, cliquez sur les trois points en haut à droite et sélectionnez Appareils liés. Vous pouvez ensuite vous déconnecter de tout appareil suspect en appuyant dessus.
- Au-delà d’une solution antivirale vous permettant de lutter contre certaines applications espionnes, vous pouvez aussi vérifiez régulièrement les autorisations des applications sur votre téléphone et recherchez les applications suspectes que vous ne vous souvenez pas avoir installées. Aussi, de mauvaises performances de votre téléphone pourraient également vous mettre la puce à l’oreille. Ainsi, si vous remarquez que votre téléphone est plus lent, plante, se bloque ou que votre batterie se décharge beaucoup plus rapidement que d’habitude, cela peut signifier que des applications cachées s’exécutent en arrière-plan. Vous pouvez les identifier et désactiver celles que vous trouvez suspecte via l’actualisation de l’application en arrière-plan en accédant à Paramètres, en sélectionnant Général et en cliquant sur Actualisation de l’application en arrière-plan.
- De manière générale, limitez l’accès physique à votre téléphone et par conséquent à votre compte WhatsApp en renforçant sa sécurité, via l’activation de l’authentification à deux facteurs. Il s’agit pour ce faire de configurer WhatsApp afin qu’une vérification en deux étapes soit faite lors du lancement de l’application à travers un mot de passe, un accès par empreinte digitale ou une autre option de sécurité disponible pour votre appareil. Les étapes tels qu’indiquées par la firme américaine à ce propos sont les suivantes : ouvrez l’application WhatsApp sur votre iPhone ou appareil Android. Accédez à Paramètres > Compte > Vérification en deux étapes, puis appuyez sur Activer. Par ailleurs, jaugez régulièrement à quel point vos informations personnelles sont disponibles en ligne et prenez des mesures pour minimiser votre empreinte numérique. L’usage d’un outil de surveillance de l’identité numérique que j’évoquerai plus en détail dans le dossier de la semaine prochaine, pourra également vous aider à maîtriser votre empreinte numérique en vous alertant sur celles de vos informations personnelles qui sont disponibles aussi bien en public que sur le dark web puis, vous guider dans la prise de mesures nécessaires pour réduire les risques.
- S’il vous arrive de penser que quelqu’un d’autre utilise votre compte WhatsApp, vous devez en informer votre famille et vos amis, car cette personne pourrait usurper votre identité pour se faire passer pour vous inbox et dans les groupes.
- Au cas où vous n’avez plus accès à votre compte WhatsApp à la suite d’un téléphone volé par exemple, connectez-vous à WhatsApp avec votre numéro de téléphone et réinscrivez-vous en saisissant le code à 6 chiffres que vous recevez par SMS ou appel téléphonique. Cela étant fait, la personne utilisant votre compte sera automatiquement déconnectée de votre compte. S’il vous est demandé de saisir un code PIN de vérification en deux étapes et que vous l’aviez pas fait au préalable, la personne utilisant votre compte a peut-être activé la vérification en deux étapes. Dans ce cas vous devez attendre 7 jours avant de pouvoir vous connecter sans le code PIN de vérification en deux étapes. Par conséquent, plus tôt vous agirez et mieux ce sera.
- Ne négligez pas les mises à jour aussi bien pour l’application en elle-même que pour le système hôte Androïd ou iOS. Et oui, peu d’entre vous prêtent généralement attention à ce dernier, et ne mettent à jour WhatsApp que lorsque l’application ne s’ouvre plus. Sachant que le niveau de sécurité d’un système est celui de son maillon le plus faible, chercher à garder la meilleure cohérence et un niveau de sécurité le plus élevé pour les 2. Ainsi, dès l’achat, il faudrait prendre soin de ne pas seulement choisir le téléphone le plus « swag », avec des caméras ou pixels en plus, mais aussi, avec la version Android ou iOS la plus récente. Cela étant fait, activez les mises à jour automatiques des applications dans le Play Store ou l’App Store si votre connexion internet le permet, avec un accès au wifi notamment. Sinon, vous penserez à vérifier de vous-mêmes et de manière régulière, si une mise à jour de WhatsApp et/ou d’Android ou iOS est disponible. Le cas échéant, n’hésitez pas à poser la question en commentaire ou à m’envoyer un mail pour savoir comment faire.
Aucune sécurité n’est parfaite et WhatsApp ne fait pas exception. Toutefois, vous pouvez mettre toutes les chances de votre côté en appliquant ces bonnes pratiques, que je me ferai le devoir de mettre à jour régulièrement au gré de l’inspiration foisonnante des pirates. Et pour commencer, pourquoi ne pas chercher parmi les solutions antivirales, celles qui serait la plus adaptée pour votre Android ou iPhone. Le classement des meilleurs antivirus pris dans leur ensemble pour cette année 2024, a déjà été fait mais le smartphone ayant ses particularités, il serait plus efficace de mettre l’accent sur des solutions spécifiques, loin d’un raccourci généraliste. Comprendre avant tout ce qu’on protège et ce que fait exactement la solution c’est mieux. Suivez-moi sur Linkedin, l’article y relatif devrait suivre.
Références :
- https://faq.whatsapp.com/1428782138011916
- https://www.geeksforgeeks.org/how-whatsapp-messages-can-be-hacked/
- https://dig.watch/updates/zero-day-vulnerabilities-for-whatsapp-hacking-now-cost-millions-of-dollars
- https://faq.whatsapp.com/1131652977717250
- https://www.bitdefender.com/blog/hotforsecurity/how-scammers-gain-access-and-hack-your-whatsapp-account-and-what-you-can-do-to-protect-yourself/
- https://www.clevguard.org/hack/whatsapp-hacking-apps/?media=googleppc&gad_source=1&gclid=Cj0KCQjwj9-zBhDyARIsAERjds3GBk-K47DBfBN0fbYA3IzRhbnnsu–1ycLabfm5bc78Dhv5AFHz-oaAjbNEALw_wcB
- https://www.proofpoint.com/us/threat-reference/phishing
- https://www.fortinet.com/resources/cyberglossary/spyware
- https://us.norton.com/blog/emerging-threats/pegasus-spyware
- https://www.cloudflare.com/fr-fr/learning/security/threats/buffer-overflow/
- https://www.kaspersky.fr/resource-center/threats/deep-web