Les développeurs d’applications et les hackers sont sans cesse en train de faire la course afin de trouver une éventuelle faille dans les API : les uns pour les corriger, les autres pour les exploiter. Et, parfois, les manœuvres les plus simples sont les meilleures. Zuk Avraham, un chercheur en cybersécurité et spécialiste des systèmes mobiles, a dévoilé sur Twitter avoir découvert une technique facile à mettre en œuvre, et pourtant redoutable, afin de prendre le contrôle de l’application lorsque le smartphone[1] de la victime est éteint ou en mode avion[2] – lorsqu’elle va se coucher par exemple. La clé du “succès” ? Son répondeur téléphonique.
Piratage WhatsApp : une attaque via la messagerie vocale
Généralement, quand une personne dort, elle éteint son smartphone[1] ou le met en mode avion[2] afin que les appels téléphoniques ne la réveillent pas. De ce fait, ces derniers sont automatiquement redirigés sur la messagerie vocale. Et c’est à ce moment-là, lorsque la victime laisse tomber ses barrières et s’abandonne aux bras de Morphée, que le pirate peut frapper. Selon la méthode découverte par Zuk Avraham, il va composer le numéro de la personne afin de se connecter au compte WhatsApp de cette dernière. La plateforme va donc envoyer un SMS de vérification mais, comme le smartphone[1] est hors connexion, le message va rester en attente. Le hacker va donc effectuer un nouvel essai, mais en demandant cette fois-ci une vérification par appel. Comme le téléphone est toujours indisponible, le service WhatsApp va laisser un message vocal sur la messagerie de l’utilisateur contenant le numéro d’identification. Et là, c’est le drame.
La plupart des opérateurs proposent un service pour consulter ces messages vocaux à distance. Pour y accéder, il faut donner un code secret à quatre chiffres. Or, dans certains pays, ce code est composé par défaut des quatre derniers chiffres du numéro de téléphone. Le pirate n’a qu’à tenter sa chance et récupérer le numéro d’identification de WhatsApp pour accéder au compte. Le scénario est d’autant plus inquiétant que la plateforme a fait l’objet d’une fuite massive en novembre 2022, avec le vol des données téléphoniques de près de 500 millions de personnes, dont plus de 20 millions de Français, qui ont depuis été mises en vente sur le Dark Web. C’est pourquoi il est important de changer son code de messagerie vocale par défaut et d’activer[3] l’authentification à double facteur (2FA), d’autant plus que, lorsqu’un compte WhatsApp est piraté, le processus de récupération peut prendre plusieurs jours, ce qui laisse tout le temps au pirate d’escroquer les contacts et/ou de diffuser des malwares. Il ne reste plus qu’à espérer que Meta corriger vite cette faille.
Le smartphone a plein de fonctionnalités intéressantes :
- Téléphone (heureusement)
- Messages
- Internet
- Caméra
- Appareil Photo
- GPS
- Lampe de poche
- Agenda
- Rappels…
- Et toutes les fonctionnalités que vous pourrez ajouter en téléchargeant des applications.
On trouve de tous les prix pour les smartphones. Les plus chers étant les iPhones d’Apple et les Edge de Samsung (à partir de 700€). Mais vous avez aujourd’hui des smartphones très accessibles et de bonne qualité, comme ceux proposés par la marque Française Wiko, avec des téléphones à partir de 59€.
Outre les iPhones qui tournent sous iOs et les Windows Phones qui tournent sous Windows Mobile, la plupart des mobiles utilisent Android de Google comme système d’exploitation, vous permettant d’avoir un système personnalisable, sur lequel vous pourrez télécharger des logiciels.
Voici un smartphone sous Android conçu par Wiko :
Et voici à quoi ressemble l’écran d’accueil d’un téléphone Android :
Activer’ un système informatique ou une fonctionnalité de ce système signifie « mettre en service ». Activer un appareil informatique revient à l’allumer et à effectuer les manipulations qui le rendront opérationnel. On peut activer un programme informatique sans que toutes ses fonctions possibles soient opérationnelles.