On peut souvent résumer la cybersécurité comme suit : « la même chose, un jour différent ». Les attaques changent, mais rarement de manière aussi spectaculaire qu’on ne puisse pas voir la méthodologie familière en dessous. Le dernier exemple en date : des acteurs malveillants exploitant le processus de liaison d’appareils de WhatsApp pour infiltrer les comptes d’utilisateurs sans méfiance.
Comme l’explique le fabricant de logiciels antivirus Gen Digital, société mère de Norton, Avast et AVG, cette campagne « GhostPairing » consiste à tromper les utilisateurs sans méfiance pour qu’ils aident les pirates à se connecter à leur compte WhatsApp (h/t BleepingComputer). Il s’agit d’une variante d’une attaque de phishing et fonctionne comme ceci :
- Vous recevez un message WhatsApp d’un de vos contacts connus.
- Ils vous disent qu’ils ont trouvé une photo de vous en ligne et incluent un lien.
- L’aperçu du lien montre soi-disant une page Facebook, mais il s’agit en réalité d’un faux site.
- Lorsque vous cliquez sur le lien, vous êtes invité à vérifier votre compte pour voir la photo.
- Le faux site vous demande alors votre numéro de téléphone.
- Une fois reçu, l’attaquant commence le processus de connexion de son côté. Un véritable code de vérification sera envoyé sur votre téléphone.
- Le faux site demande alors ce code de connexion.
- Si vous saisissez le code, ces informations sont capturées puis utilisées pour terminer le processus de liaison des appareils.
Les victimes victimes de cette attaque croiront qu’elles vérifient le compte aux fins de Meta, mais en réalité, elles suivent un processus de connexion légitime.
Une fois que le pirate informatique a accès à votre compte, il peut voir tous vos messages existants et tout nouveau message entrant. Ils peuvent également envoyer des messages en votre nom à des contacts pour poursuivre le cycle de surveillance des autres à la recherche de données sensibles.
Heureusement, ce type d’attaque n’est pas nouveau, ce qui signifie que vous pouvez le reconnaître plus facilement. Premièrement, cela repose sur une confiance inconditionnelle dans vos contacts : vous avez confiance qu’ils ne vous enverront que des liens sans compromis.
Deuxièmement, cela suit un schéma similaire à celui des tentatives de phishing plus classiques. Vous cliquez sur un lien frauduleux, puis saisissez les informations de connexion nécessaires sur un faux site (mais d’une réalité convaincante). Ces informations d’identification sont capturées et utilisées par l’attaquant. La principale différence ici est qu’au lieu d’enregistrer votre mot de passe (qui peut ensuite être utilisé pour des attaques ultérieures de credential stuffing) et de voler des codes d’authentification à deux facteurs, cette campagne malveillante s’adapte à la méthode de connexion de WhatsApp.
Troisièmement, il se raconte à travers un comportement étrange. Dans un scénario normal, vous ne vérifieriez pas votre accès au contenu Facebook avec vos informations de connexion WhatsApp. L’attaquant espère que vous ne prêtez pas trop attention à ce qui se passe !
Pour éviter de vous laisser piéger par cette sale astuce, méfiez-vous. N’interagissez pas avec le lien. Au lieu de cela, s’il s’agit de quelqu’un que vous connaissez, contactez-le via une autre méthode, comme un appel téléphonique ou une autre application de messagerie, et demandez-lui ce qui se passe. (Jeu de mots légèrement intentionnel.) Si vous ne les connaissez pas bien, ignorez le message. Et en général, ne partagez pas les codes de connexion avec des sites tant que vous n’avez pas vérifié que le site est réellement officiel.
Si vous craignez que quelqu’un puisse accéder à votre compte WhatsApp, vous pouvez vérifier quels téléphones, tablettes et/ou PC sont connectés en vous rendant sur Paramètres > Appareils liés. Vous pouvez également effectuer une vérification similaire pour de nombreux services majeurs, tels que Google, Apple, Microsoft, Facebook, etc. Je recommande toujours d’y jeter un coup d’œil de temps en temps, juste pour vous assurer que vous êtes enfermé et en sécurité.
