Les avertissements s’accumulent autour de WhatsApp. Cette fois, c’est l’agence américaine de cybersécurité CISA qui alerte le grand public : des acteurs malveillants exploitent désormais des outils d’espionnage pour infiltrer les comptes de messagerie. Selon l’agence, ces groupes utilisent un mélange de ciblage sophistiqué et d’ingénierie sociale (de manipulation, autrement dit) pour obtenir un accès non autorisé, puis déployer d’autres logiciels malveillants susceptibles de compromettre tout le smartphone.
Des attaques toujours plus sournoises
Si ces attaques sophistiquées visent généralement des personnalités sensibles ou des entreprises stratégiques, leur mode opératoire repose sur des vecteurs classiques : liens empoisonnés, QR codes falsifiés, applications piégées ou encore clones d’apps populaires. Et malgré cette montée en puissance technique, la première menace reste d’une simplicité déconcertante : le vol du code d’authentification envoyé par WhatsApp.
C’est le scénario le plus courant. Un attaquant contacte sa victime, la convainc de partager le code à usage unique reçu par SMS, puis transfère le compte sur son propre appareil. Une fois l’opération réalisée, l’utilisateur légitime se retrouve éjecté et doit entamer un processus parfois long pour récupérer son compte. WhatsApp insiste : « Vous ne devez jamais partager votre code de connexion, même avec vos proches. » L’entreprise rappelle qu’elle n’a d’ailleurs aucun moyen de désactiver un compte sans pouvoir prouver que le numéro appartient bien à son propriétaire.
Face à ces menaces, les mesures de protection sont à la portée de tous. WhatsApp recommande de vérifier trois réglages essentiels dans Paramètres > Compte. D’abord, l’activation de la vérification en deux étapes. L’utilisateur définit un code PIN permanent, demandé lors de toute tentative de connexion. C’est la barrière la plus importante. L’ajout d’une adresse e-mail de récupération servira en cas de perte du PIN ou si le compte est détourné. Enfin, l’activation d’une passkey (ou clé de passe) : ce système d’authentification renforce encore la sécurité du compte en l’associant à un identifiant cryptographique, généralement une empreinte digitale ou le scan du visage.
Le spécialiste de la sécurité ESET rappelle que des « actions immédiates et des solutions durables » permettent de récupérer un compte compromis. La rapidité d’intervention et la capacité à sécuriser durablement l’accès sont des clés indispensables pour éviter les mauvaises surprises.
Au-delà des protections existantes, certains experts plaident pour une transformation plus profonde : associer l’authentification de WhatsApp non pas au numéro de téléphone, mais à la carte SIM physique présente dans l’appareil. Aujourd’hui, n’importe quel attaquant peut détourner un compte simplement en interceptant un code reçu par SMS. Lier l’application à la SIM empêcherait ce transfert silencieux : l’identifiant deviendrait indissociable du téléphone réel.
🟣 Pour ne manquer aucune news sur le Journal du Geek, suivez-nous sur Google et sur notre canal WhatsApp. Et si vous nous adorez, on a une newsletter tous les matins.
