Il est en effet facile d’abuser du système d’authentification de WhatsApp pour bloquer le compte d’un utilisateur.
L’application de messagerie propose à ses utilisateurs de s’identifier en introduisant un code reçu par SMS. Une méthode d’identification bonne en soi, malheureusement, il est assez facile de la corrompre pour bloquer le compte WhatsApp d’un utilisateur, comme l’ont découvert les chercheurs en cybersécurité Luis Márquez Carpintero et Ernesto Canales Pereña. Il suffit de connaitre son numéro de téléphone.
Ici, il n’est pas question de pirater ni d’exploiter une faille de sécurité avec des outils informatiques, mais plutôt de nuire à un proche ou à une connaissance. Une personne mal intentionnée pourrait en effet décider de bloquer le compte WhatsApp d’un contact pour l’ennuyer. Il lui suffirait pour cela de tenter de se connecter à l’application de messagerie en renseignant le numéro de téléphone de l’individu qu’elle vise. Cela aurait pour effet d’enclencher l’envoi d’un code par SMS au numéro renseigné.
Or, si la personne malveillante répète l’opération plusieurs fois, WhatsApp bloquera l’identification pour le compte associé au numéro de téléphone durant 12 heures. La personne pourra ensuite contacter le support de l’application de messagerie par mail en prétextant le vol de son smartphone et demander la suspension de son prétendu compte WhatsApp. Les différentes tentatives de connexion qu’elle aura réalisées ne feront que renforcer sa version. Par mesure de sécurité, le compte sera suspendu sans que le véritable propriétaire ne puisse faire quoi que ce soit.
Bien que cette vulnérabilité au sein du système d’identification de WhatsApp puisse mener à des actions malveillantes, elle ne permet en revanche pas d’accéder au compte en lui-même. La confidentialité du compte et des différentes conversations est donc préservée.
Si cette faille ne permet pas de pirater un compte WhatsApp, des personnes malveillantes pourraient abuser de celle-ci pour harceler un individu. La fuite de données de 500 millions de comptes Facebook – dont les numéros de téléphone des utilisateurs – pourrait également mener à des vagues de suspensions malveillantes de comptes WhatsApp, simplement parce que c’est possible de le faire et par simple envie de nuire à autrui. Reste plus qu’à espérer que l’application de messagerie corrige cette faille.