Rahul Sasi, fondateur et PDG de CloudSEK, a publié les détails d’une méthode qui permet aux attaquants de détourner le compte WhatsApp d'une victime et d'accéder à ses messages personnels et à sa liste de contacts.

La méthode s'appuie sur le service automatisé des opérateurs mobiles permettant de transférer les appels vers un autre numéro de téléphone, et sur l'option de WhatsApp permettant d'envoyer un code de vérification du mot de passe à usage unique (OTP) par appel vocal.

Sasi explique que l'attaquant doit d'abord convaincre la victime d'appeler un numéro qui commence par un code d'interface homme-machine (IHM) mis en place par l'opérateur mobile pour activer le transfert d'appel.

Selon l'opérateur, un code MMI différent peut renvoyer tous les appels vers un terminal vers un numéro différent ou seulement lorsque la ligne est occupée ou qu'il n'y a pas de réception.

"Tout d'abord, vous recevez un appel de l'attaquant qui vous convaincra de passer un appel au numéro suivant **67* ou *405*. En quelques minutes, votre WhatsApp sera déconnecté, et les attaquants auront le contrôle total de votre compte" - Rahul Sasi

Le chercheur explique que le numéro à 10 chiffres appartient à l'attaquant et que le code MMI qui le précède indique à l'opérateur mobile de transférer tous les appels vers le numéro de téléphone indiqué après celui-ci lorsque la ligne de la victime est occupée.

Une fois qu'il a convaincu la victime de transférer les appels vers son numéro, l'attaquant lance le processus d'enregistrement de WhatsApp sur son appareil, en choisissant l'option de recevoir l'OTP par appel vocal.

Il pourra ensuite enregistrer le compte WhatsApp de la victime sur son appareil et activer l'authentification à deux facteurs (2FA), qui empêche les propriétaires légitimes de retrouver l'accès.

Pour se protéger contre ce type d'attaque, il suffit d'activer la protection par authentification à deux facteurs dans WhatsApp. Cette fonctionnalité empêche les acteurs malveillants de prendre le contrôle du compte en exigeant un code PIN chaque fois que vous enregistrez un téléphone avec l'application de messagerie.