Commentaires : Une faille permet de bloquer un compte WhatsApp grâce au numéro de téléphone associé

WhatsApp
est actuellement victime d’un problème de sécurité. Deux chercheurs ont découvert que l’application de messagerie instantanée
permettait à toute personne malintentionnée de priver un utilisateur de son compte. Il suffirait pour le pirate de connaitre le numéro de téléphone de sa victime.

Ce que j’en pense ?
Que vous venez de donner une marche à suivre complète aux personnes mal intentionnées… Dans le contexte du harcèlement scolaire, c’est cadeau !

4 « J'aime »

De la meme maniere on peut supprimer certains comptes Tinder depuis des années

Ça va juste le bloquer, pas le pirater pour le récupérer, mais c’est sûr que c’est galère pour la personne concernée…

déjà je trouve complètement con de bloquer un compte 12h juste parce qu’on n’a pas noté les bons codes de vérification.
Si vous me dites c’est pour éviter le piratage je vous repondrai que pour tenter des codes au hasard (à 6 chiffres), veuillez croire qu’à raison d’une tentative chaque minute (ce temps d’attente EST le système de sécurité après 3 tentatives normales ratées) cela suffit amplement pour décourager n’importe quel pirate en herbe.

1 « J'aime »

Surtout quand tu cibles certaines personnes. j’en connais un paquet incapable d’envoyer un mail.

peut-être qu’il suffit de désactiver sa connexion (opérateur) sms pour endiguer la procédure de la faille. ce qui laisse le temps de contacter whatsapp en gardant son compte actif.

Mais c’est quand même incroyable qu’une entreprise bloque un compte vérifié via des tentatives par un compte non vérifié, c’est un niveau de maitrise sécuritaire proche de l’amateurisme 0_°

ça veut dire aussi, qu’on peut s’inscrire sur whatsapp avec un n° poubelle et garder son n° principal caché de whatsapp.

Kovic : Ce que j’en pense ?
Que vous venez de donner une marche à suivre complète aux personnes mal intentionnées… Dans le contexte du harcèlement scolaire, c’est cadeau !

C’est plutôt cadeau pour la famille du gamin harcelé, en cas de plainte en justice on obtiendra les identifiants de l’attaque; Ceci dit un compte d’ado whatapp bloqué c’est peanuts comme désagrément, ça sera peut-être même le déclencheur d’une remontée des notes de cours, lol.

Sauf que le pirate si il est un peu futé, il va utiliser un script que fera ca automatiquement et il n’aura qu’à laisser le smartphone branché. Au lieu de tester les codes séquentiellement, il peut tester les codes les plus probables en premier soit en utilisant des listes statistiques, soit sur base de ce qu’il sait de sa victime.
Et si il arrive à lancer l’attque depuis plusieurs appareils en parallèle, soit parce que le système est mal fichu (ce qui est souvent le cas), soit parce qu’il a trouvé un moyen d’exploiter une faille, c’est game over pour la victime.

Donc si je comprends bien, le pirate, ou plutôt le malveillant car ledit pirate n’a rien à gagner au bout du compte, va dépenser une énergie folle juste pour le plaisir de bloquer le Whatsapp d’une personne qui elle, de toute façon, pourra toujours communiquer avec ses contacts par SMS.
Vraiment tordu comme esprit !

Complémentent d’accord, de plus il suffit de faire un appel sur le numéro de la victime pour authentifier comme d’autres applications .

désolé mais je ne suis en rien d’accord avec ta réponse. je m’explique point par point:

alors… déjà ici j’avais bien parlé de « pirate en herbe » mais bref, passons

euh… tu sais combien de temps il faut pour tester tous les nombres à 6 chiffres à raison d’un nombre par minute?
je te laisse faire le calcul c’est pas bien compliqué lol ca fait presque 2 ans sans jamais s’arréter xD
voilà quoi…

tu as bien compris que l’article parle du code de vérification qui est envoyé et qu’il faut taper?
j’ai l’impression que tu parles du mot de passe de la victime (qui n’est clairement pas le sujet de l’article)

meme cet argument est à côté.
j’ai bien précisé que le systeme n’envoie qu’un code par minute pour un compte donné. tu peux me dire en quoi les autres appareils peuvent t’aider dans ce cas? 5 appareils qui demandent un code de verification au cours de la meme minute ne fera pas réagir le systeme, qui attend que la minute s’écoule avant d’envoyer un autre code.
xD
bref le systeme que je décris n’est pas si facile que ça à craquer. donc on est loin du game over que tu cites lol

Cette méthode n’est pas limitée qu’à Whatsapp mais à toute application qui n’utilise que le numéro de téléphone pour se connecter à son compte.

J’ai aussi pensé à « super, on donne tous les détails de la méthode, c’est pratiquement inciter ». Ce n’est pas vraiment une faille, c’est juste une mauvaise conception! Et c’est à la portée de n’importe qui, de l’ado rageux à un(e) ex qui fait une crise de jalousie en passant par un employé viré qui se vengera sur son boss. Les solutions simples ne manquent pas pourtant. Si on décide d’utiliser un code pin, il est aussi demandé une adresse mail => contact du support uniquement à partir de cette adresse (ex: « Afin de nous assurer que vous êtes bien le propriétaire du compte, un e-mail a été envoyé à l’adresse que vous avez préalablement défini »). Après bien sûr si on se fait hacker son mail, c’est une autre histoire.

J’imagine que ce n’est pas si compliqué à mettre en place…