Publié le 21 décembre 2025 à 05h53 (heure locale). Une nouvelle faille de sécurité, baptisée « GhostPairing », permettrait à des pirates informatiques de prendre le contrôle total d’un compte WhatsApp sans mot de passe, code d’authentification ou échange de carte SIM, alerte l’agence de cybersécurité indienne CERT-In.
- La vulnérabilité réside dans la fonctionnalité de liaison d’appareils de WhatsApp et exploite des techniques d’ingénierie sociale.
- Les attaquants peuvent accéder à l’historique complet des conversations, y compris les photos, vidéos et messages vocaux.
- CERT-In recommande aux utilisateurs indiens de faire preuve d’une extrême prudence face aux liens non sollicités et de vérifier régulièrement leurs appareils liés.
L’Indian Computer Emergency Response Team (CERT-In), l’agence nationale indienne de cybersécurité, a publié un avis de haute gravité concernant une vulnérabilité critique affectant WhatsApp. Cette faille, nommée « GhostPairing », permettrait à des acteurs malveillants de compromettre un compte WhatsApp de manière insidieuse, en prenant un contrôle « complet » du système d’exploitation de l’utilisateur, sans nécessiter de mot de passe, de code à usage unique (OTP) ou d’échange physique de carte SIM.
Selon CERT-In, l’attaque repose principalement sur une campagne d’ingénierie sociale qui abuse des fonctionnalités légitimes de WhatsApp. Elle commence généralement par l’envoi d’un message trompeur par un contact apparemment de confiance, dont le compte a probablement déjà été compromis. Ce message utilise souvent un prétexte attrayant, comme une invitation à consulter une photo, accompagné d’un lien qui affiche un aperçu de type Facebook pour instaurer un sentiment de confiance immédiat.
En cliquant sur ce lien, l’utilisateur est redirigé vers une page de « vérification » frauduleuse qui imite l’interface web officielle de Facebook ou de WhatsApp. Les attaquants utilisent alors deux méthodes principales pour prendre le contrôle du compte :
La variante du code d’appariement : Le faux site web invite l’utilisateur à saisir son numéro de téléphone. En arrière-plan, l’attaquant lance une demande légitime de « Liaison avec le numéro de téléphone » sur son propre navigateur. WhatsApp génère alors un code de couplage à huit chiffres, que l’attaquant récupère et réintègre dans le faux site. La victime, pensant effectuer une vérification de sécurité standard, saisit ce code dans son application WhatsApp, autorisant ainsi involontairement le navigateur de l’attaquant comme un appareil « de confiance ».
La variante du code QR : Dans certains cas, le site de phishing intègre un code QR généré en temps réel à partir de la session web WhatsApp de l’attaquant. Si la victime scanne ce code QR depuis son application mobile pour « vérifier » son identité, l’attaquant se connecte instantanément.
La particularité la plus préoccupante de cette attaque est sa discrétion. Étant donné qu’elle utilise le protocole officiel de liaison d’appareils, elle ne déclenche pas d’alerte de « Nouvelle connexion » qui nécessiterait généralement un code OTP supplémentaire. Le téléphone principal de la victime continue de fonctionner normalement, sans déconnexion forcée, permettant à l’attaquant de surveiller les communications pendant des jours, voire des semaines.
Pendant cette période, l’attaquant peut surveiller l’intégralité des échanges de la victime, et même usurper son identité pour propager le leurre « GhostPairing » à ses contacts et groupes de discussion.
CERT-In exhorte les « Digital Nagriks » (citoyens numériques) indiens à faire preuve d’une vigilance accrue face aux liens non sollicités, même s’ils proviennent de contacts connus. Pour protéger leur compte, les utilisateurs sont invités à :
- Vérifier leurs appareils liés : Accéder à Paramètres > Appareils liés dans l’application WhatsApp et déconnecter tout navigateur ou système d’exploitation inconnu.
- Activer la vérification en deux étapes (2SV) : Configurer un code PIN personnalisé à six chiffres dans les paramètres du compte.
- Ne jamais coupler sur des sites externes : Ne jamais scanner de code QR ni saisir de code d’appariement sur un site web non officiel. Le couplage WhatsApp légitime ne se produit qu’entre le téléphone et l’application WhatsApp officielle ou via web.whatsapp.com.
À lire aussi
