Avec deux milliards d’utilisateurs dans le monde, l’application de messagerie est une cible évidente pour les fraudeurs. Mais la menace vient rarement d’un hacker anonyme à l’autre bout du monde. Une grande proportion des cas documentés d’accès non autorisé à l’appli vient de beaucoup plus près : un conjoint suspicieux, un ex, un collègue ou simplement un voleur de smartphone. Ces personnes n’ont pas besoin de savoir coder. Elles ont juste besoin de votre téléphone déverrouillé pendant quelques secondes.
Une fonctionnalité pratique devenue outil d’espionnage
La technique la plus répandue n’exploite aucune faille ni virus. Elle détourne une fonctionnalité officielle bien connue de WhatsApp : la liaison d’appareils. C’est celle qui vous permet d’utiliser WhatsApp sur un appareil externe, par exemple via WhatsApp Web dans un navigateur. La procédure est simple : il suffit d’ouvrir WhatsApp sur votre téléphone, d’aller dans le menu des appareils liés et de scanner un QR code affiché sur l’écran de l’appareil externe. En quelques secondes, tous vos messages sont disponibles sur l’autre appareil, sans jamais avoir à retoucher votre téléphone. Cela ouvre la porte aux curieux, mais aussi aux fraudeurs.
En effet, il peut aussi bien s’agir d’un de vos proches un peu trop curieux, que d’un inconnu à la recherche d’informations personnelles. Le plus grave, c’est que des campagnes de phishing exploitent le système de connexion d’appareils liés en envoyant de faux QR codes présentés comme de vraies invitations. Une fois scanné, l’appareil contrôlé par l’attaquant est silencieusement ajouté au compte, lui permettant de lire les conversations en temps réel sans laisser la moindre trace visible. A partir de là, il peut s’en prendre à vous de façons différentes : demandes d’argent à des proches, accès à vos documents partagés, etc.
L’autre piège classique est le code de vérification à six chiffres reçu par SMS. C’est la clé d’activation de votre compte WhatsApp sur un nouvel appareil. Si quelqu’un vous demande de le transmettre, quel que soit le prétexte, c’est uniquement parce qu’il cherche à prendre le contrôle de votre compte. WhatsApp ne vous demandera jamais ce code par message ou par téléphone, et aucune personne légitime ne devrait le faire.
Comment savoir si quelqu’un est déjà connecté
Heureusement, WhatsApp garde une trace de tous les appareils connectés à votre compte, et il est très facile de les découvrir. Sur Android, il faut cliquer sur les trois points en haut à droite, puis sur “Appareils connectés”. Sur iPhone, rendez-vous dans Réglages, puis “Appareils connectés”. Vous verrez ensuite la liste de tous les appareils connectés à votre compte. Il est possible de consulter le type d’appareil, le nom du navigateur utilisé et la date de dernière activité. Par exemple, un appareil est connecté via Chrome sur Windows alors que vous n’avez pas de PC devrait vous mettre la puce à l’oreille. Même chose si vous découvrez un appareil actif récemment et que vous ne l’avez pas utilisé.
La grande majorité des utilisateurs ne consultent jamais cette liste, ce qui rend les intrusions particulièrement efficaces et souvent indétectables pendant plusieurs semaines. Pour vous assurer qu’aucun appareil inconnu est en train d’utiliser votre compte WhatsApp, déconnectez régulièrement les appareils connectés, qu’ils soient suspects ou non. La marche à suivre est très simple : il vous suffit d’appuyer sur l’appareil en question, puis de sélectionner “se déconnecter”. Le compte sera automatiquement déconnecté et l’application se fermera. Pour se reconnecter, l’intrus devrait physiquement remettre la main sur votre téléphone.
Les précautions à prendre pour protéger votre compte
Déconnecter les appareils connectés règle le problème immédiat. Il est tout de même possible de donner à votre compte un niveau de sécurité supérieur. La vérification en deux étapes est le premier réflexe à avoir. Elle se trouve dans Paramètres, puis Compte. Elle crée un code PIN à six chiffres exigé lorsque votre numéro est réenregistré sur un nouveau téléphone : ce n’est pas une protection directe des appareils connectés, mais elle bloque justement le type de piratage qui permet ensuite de lier d’autres appareils.
Plus récemment, WhatsApp a introduit des mots de passe d’appareil (clés d’accès) qui utilisent votre empreinte ou la reconnaissance faciale sur le téléphone pour sécuriser la connexion, notamment lors d’un réenregistrement de votre numéro. Cela peut limiter fortement les risques si quelqu’un tente de reprendre votre compte sur un autre téléphone.
Il faut aussi savoir que, par défaut, les sauvegardes WhatsApp stockées dans le cloud ne bénéficient pas automatiquement du chiffrement de bout en bout qui protège les messages en transit. Si vous n’activez pas la sauvegarde chiffrée de bout en bout dans les paramètres, un téléphone mal sécurisé peut exposer des mois de conversations par un chemin détourné, même sans passer par la liaison d’appareils.
En résumé
- La liaison d’appareils sur WhatsApp expose les utilisateurs à d’éventuels accès non autorisés, principalement via un téléphone déverrouillé.
- Vérifiez régulièrement la liste des appareils connectés à votre compte et déconnectez tous ceux que vous ne reconnaissez pas.
- Activez la vérification en deux étapes pour sécuriser le réenregistrement de votre numéro sur un autre téléphone.
- Utilisez si possible une clé d’accès (passkey) avec empreinte ou reconnaissance faciale pour sécuriser la connexion sur votre téléphone.
- Activez la sauvegarde chiffrée de bout en bout pour éviter qu’un compte cloud mal sécurisé n’expose vos conversations.
- Ne partagez jamais votre code de vérification à 6 chiffres reçu par SMS.
🟣 Pour ne manquer aucune news sur le Journal du Geek, suivez-nous sur Google et sur notre canal WhatsApp. Et si vous nous adorez, on a une newsletter tous les matins.
