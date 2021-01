WhatsApp a un problème de sécurité majeur lié à l’ouverture d’URL, qui semblent afficher une invite suggérant qu’un OTP (mot de passe à usage unique) a été fourni à un utilisateur. Les URL sont facilement disponibles sur Internet ouvert et, pour aggraver les choses, peuvent être modifiées par n’importe quel utilisateur pour afficher tout OTP à six chiffres qu’il souhaite afficher à l’écran. Il s’agit d’une technique clé qui serait utilisée par des escrocs en Inde, qui ciblent des individus sans méfiance et utilisent ce lien pour les convaincre que l’appel est bien passé au nom de WhatsApp. Après avoir gagné en confiance, les escrocs procèdent ensuite à l’extraction de l’OTP de connexion réel pour reprendre l’accès aux comptes privés WhatsApp.

Une fois l’accès pris en charge, l’utilisateur qui possède à l’origine le compte en perd le contrôle. Les fraudeurs peuvent ensuite utiliser cet accès pour diffuser du spam aux contacts d’un utilisateur, et également distribuer des logiciels malveillants ou des logiciels espions aux contacts qui feraient confiance à l’utilisateur victime en tant que contact régulier et télécharger les fichiers partagés par eux. Les fraudeurs peuvent également accéder aux fenêtres de discussion de WhatsApp Banking et en extraire des informations sensibles, et provoquer un vol d’identité qui peut conduire à d’autres escroqueries financières, à des efforts de chantage et à de nombreuses autres activités néfastes. Ces URL OTP WhatsApp sont faciles à modifier, et même pour les utilisateurs relativement avertis, peuvent sembler assez convaincantes.

S’adressant à News18, Rajshekhar Rajaharia, un chercheur indépendant en cybersécurité, a affirmé qu’il s’agissait d’une technique très courante utilisée par les escrocs dans les cercles de cybercriminalité et de fraude en ligne notoirement infâmes de l’Inde, tels que Jamtara de Jharkhand ou Mewat de Bharatpur. «Les voyous en ligne de ces cercles utilisent cette URL et utilisent des termes tels que« mise à jour de la politique »pour duper les utilisateurs, puis demandent au véritable OTP de pirater les comptes WhatsApp», affirme Rajaharia. Il souligne également que le vrai risque pour la sécurité des escroqueries découlant de ces liens est que trop peu de personnes sont au courant du processus d’authentification à deux facteurs offert par WhatsApp ou ne font pas l’effort de le faire.

«WhatsApp se concentre uniquement sur leur application mobile pour le moment, mais ils devraient également surveiller de près leur site Web. En utilisant une petite erreur (comme ces URL) de l’une des plus grandes entreprises technologiques du monde, les voyous peuvent pirater les comptes WhatsApp en utilisant des astuces extrapolées, et peuvent ensuite abuser des comptes piratés de plusieurs manières », ajoute Rajaharia. Bien que News18 ne puisse pas confirmer de manière indépendante l’ampleur des dommages que ces URL ont déjà causé, nous pouvons confirmer que lesdites URL affectent à la fois les comptes personnels et professionnels et sont très opérationnelles au moment de la publication de l’article.

En substance, cela laisse pratiquement n’importe lequel des plus de 2 milliards d’utilisateurs mondiaux de WhatsApp et près de 400 millions d’utilisateurs indiens, à risque d’être victime d’une arnaque avec un lien qui provient ironiquement des propres liens officiels de WhatsApp. Contrairement aux liens frauduleux qui ont souvent des cadeaux cachés dans les adresses Web, lesdites URL sont en fait des liens WhatsApp officiels, avec une vérification « https » qui confirme également l’état de sécurité de ces URL.

News18 a contacté un porte-parole de WhatsApp sur la raison pour laquelle ces URL sont disponibles sur le Web ouvert et l’utilitaire exact qu’elles servent. Les réponses aux questions susmentionnées, ainsi que la question de savoir si WhatsApp était au courant de l’utilisation abusive de ces liens officiels, n’ont pas encore reçu de réponse. L’histoire sera mise à jour au fur et à mesure que l’entreprise émettra une réponse.