Ce n'est pas vraiment une faille de sécurité puisqu’aucune donnée personnelle ou message ne peut être compromis via cette technique. Les conséquences peuvent néanmoins être gênantes si vous n’avez plus accès à votre compte.
Pour résumer, des chercheurs en cybersécurité expliquent à Forbes qu’ils tentent de se connecter à votre compte via votre numéro de téléphone. Si la double authentification est activée, un SMS est envoyé. Les pirates ne l’ont pas et multiplient les tentatives au hasard, entraînant le blocage du compte pour 12h.
Ils contactent alors le support depuis leur adresse email en se faisant passer pour vous et demandant que le compte soit désactivé car le numéro de téléphone associé est perdu par exemple. WhatsApp « vérifie » alors la demande via une simple réponse par email et suspend le compte sans autre forme de procès.
Interrogé, un porte-parole de la société précise qu’il suffit de préciser une adresse email lors de la mise en place de la vérification en deux étapes. Maigre réponse face au risque de se retrouver bloqué.
Commentaires (14)
#1
Peut-on vraiment parler de “pirate” dans ce genre de cas de figure ? :)
#1.1
“Pirates” qu’il faut remercier pour donner une excuse en plus de quitter WhatsApp :)
#1.2
Disons que “vandale” est plus approprié. Ainsi que psychopathe et sociopathes, ce que sont le plus souvent les hackers.
#2
Bonjour
Quand vous écrivez que ce n est pas vraiment une faille de sécurité je pense que vous vous trompez. La sécurité dbun système est définie par au moins 3 critères : la confidentialité, l intégrité et la disponibilité.
Ici la faille bloque un compte parce que leur process de vérification est pourri. Le système est indisponible pour un ou plusieurs utilisateurs si c est massivement exploite. C est bien une faille de sécurité
#2.1
La sécurité dbun système est définie par au moins 3 critères : la confidentialité, l’intégrité et la disponibilité.
La “CIA Triad” définit les caractéristiques de l’information (=data).
La sécurité d’un système c’est la capacité du système à conserver les caractéristiques de l’information face aux menaces.
Et en l’occurrence, sacrifier temporairement l’accès au système pour garantir la triade est un bon choix.
#3
Clairement pas à mon sens. Je ne comprends pas l’intérêt de cette communication, c’est ni nouveau ni original, et ça ne sert à rien.
Franchement bof. Il faut aussi qu’il y ait un intérêt à réaliser l’action. Par exemple, le même blocage est possible avec la majorité des comptes en ligne des banques, et depuis des lustres, je peux donc m’amuser à taper n’importe quoi dans les formulaires de login pour provoquer le blocage de comptes aléatoires pour cause de trop d’erreurs de mot de passe. Or ça n’arrive jamais, pourquoi ? Parce que ça ne sert à rien pour l’attaquant et que c’est facilement résolu par l’attaqué.
On peut aussi envoyer un paquet par la poste avec une mini-bombe dedans, pour détruire la boîte aux lettres du destinataire, et il ne recevra plus de courrier. Mais ça ne sert à rien, et il va vite s’en rendre compte. Il y a plein d’exemples comme ça, de choses qui ne sont pas sécurisées parce qu’exploiter le système ne sert à rien. Il me semble que la sécurité est toujours proportionnelle au risque.
#4
Sur une attaque ciblée cela peut être utile et s’apparenter à de l’ingénierie sociale : on bloque les accès d’une personne soit elle doit attendre la réactivation et on l’empêche de réaliser certaines actions, soit elle utilise un mode dégradé pour ce qu’elle doit faire dans l’urgence (passer un coup de fil ou envoyer un mail à la place d’utiliser la messagerie chiffrée)
#5
Tu ne verras donc pas d’objections à afficher ici ton numéro de compte pour qu’on s’amuse à provoquer son blocage par ta banque ?
#6
Ils ne peuvent pas fermer tous les comptes du coup? Ca me facilitera la tâche pour faire migrer les potes :-)
#7
ça me rappelle un truc qui m’est arrivé en entreprise, une fois à cause d’un soucis d’authentification, on a bloqué un compte de service Windows. Sauf que le compte de service en question était l’admin d’un pool d’application et que ça a fait tomber le portail intranet associé. Il suffisait juste de faire 3 mauvais mdp pour faire tomber l’intranet quoi.
Bon c’est aussi parce que ce compte de service servait aussi de compte d’admin tout court que c’est LE truc à proscrire. (le compte aurait dû être bloqué dans l’AD pour qu’on ait pas le droit de s’authentifier avec)
#7.1
Ah ben ça oui, par définition un compte de service ne peut être utilisé par un humain.
#7.2
entre ce qu’il faudrait faire et le terrain, je compte plus les écarts
#7.3
Pas mieux.
#8
Bien sûr, sauf que les conditions pour qu’une telle attaque soit efficace sont extrêmement difficiles à réunir. D’où ce que je disais, la sécurité est à dimensionner en fonction du risque. Après des scénarios tordus, on peut toujours en imaginer, et il s’en produira toujours quoi qu’on fasse, aucune sécurité n’est infaillible.
Et puis alors, elle est où la news de cette même “faille de sécurité” chez la majorité des banques ? Et aussi d’autres types de comptes, comme l’exemple donné par shadowfox ? Et aussi sur mon exemple de démolir une boîte aux lettres pour bloquer le courrier ?
Ben bien sûr, et ça t’apporterait quoi de le faire ? Tu le ferais peut-être pour rigoler si je te donnais ce numéro parce que ça te prendrait 10 secondes, mais si tu devais passer plus de temps pour l’obtenir, tu ne le ferais pas, parce que ça ne te servirait à rien. Devoir fournir un effort pour un résultat nul, c’est justement ce qui fait que ça n’a que très peu de chances d’arriver.
Après si tu veux t’amuser quand-même, tu peux aller le faire avec des numéros aléatoires, je peux t’assurer que ça impactera des gens si c’est ça ton but.