Dans un contexte où les attaques par ingénierie sociale se multiplient, WhatsApp se retrouve ciblé par des cybercriminels qui exploitent une fonctionnalité légitime de l’application : l’appairage. Des chercheurs de Gen Digital (propriétaire de Norton, Avast, Avira, AVG) ont nommé cette méthode GhostPairing et s’appuie sur les faiblesses du processus d’association d’un terminal avec un autre.

Sur le plan technique, les experts détaillent les différentes étapes de l’attaque. En premier lieu, les pirates envoient un lien malveillant via un compte WhatsApp compromis où il est indiqué un message court « J’ai trouvé une photo de toi ». Ensuite, la victime clique sur le lien et arrive sur une fausse page Facebook lui demandant son numéro de téléphone. Ce dernier sert aux attaquants pour lier leur terminal au compte de la victime en interceptant le code généré par l’application pour associer les terminaux. Il suffit aux cybercriminels de renvoyer ce code à la personne et une fois validé l’appairage, ils accèdent à son téléphone. Dès lors, ils peuvent envoyer des messages aux contacts et aux groupes, consulter l’historique et suivre les échanges en temps réel. Ils sont capables. Selon Gen Digital, « une fois que leur appareil est lié, les attaquants n’ont plus besoin d’exploiter quoi que ce soit. Ils disposent des mêmes capacités que n’importe quel utilisateur se connectant à WhatsApp Web ».

L'attaque commence par un message de phishing envoyé à la victime. (Crédit: Gen Digital)

Les faiblesses de la méthode d’appairage

Pour les chercheurs, l’attaque tire parti de ce qui fait la force et la simplicité de WhatsApp, à savoir la possibilité de créer un compte avec un simple numéro de téléphone et d’y associer jusqu’à quatre terminaux sans mot de passe. Dans ce contexte, même le chiffrement de bout en bout, pourtant conçu pour protéger les messages, ne suffit pas à bloquer ce scénario. En effet, GhostPairing s’appuie sur de l’ingénierie sociale en amenant l’utilisateur a donné un accès volontaire à son compte WhatsApp.

Un élément atténue néanmoins le risque. Bien que toujours possible, l’attaque s’avère moins pratique lorsque l’association repose sur un QR code. Un point rassurant pour les utilisateurs d’autres applications de messagerie, comme Signal, qui limite les demandes d’appairage à ce seul mécanisme.

Une vigilance accrue recommandée

Face à ce type de menace, les utilisateurs peuvent agir. Ils ont tout intérêt à vérifier régulièrement les terminaux associés à leur compte via Paramètres puis Appareils connectés. Tout élément inconnu ou suspect y est immédiatement visible. En revanche, même en cas de compromission, un attaquant ne peut pas supprimer les autres connexions. Seul le terminal principal conserve ce contrôle. Autre réflexe à adopter, activer la vérification en deux étapes par code PIN. Cette protection ne bloque pas l’accès aux messages, mais elle empêche l’attaquant de modifier l’adresse e-mail principale du compte et de verrouiller davantage l’accès.

En entreprise, l’exposition est encore plus forte. Les salariés utilisent souvent WhatsApp, y compris au sein de grands groupes de discussion internes. Or beaucoup de ces espaces échappent à toute cartographie et à toute supervision. Résultat, ils passent sous le radar des équipes de sécurité. Les sociétés doivent donc partir du principe que ces groupes existent et former les utilisateurs à détecter et signaler tout message suspect, tentative de phishing ou spam provenant de numéros inconnus.