close
    search Buscar

    Comment espionner les messages WhatsApp

    Qui suis-je
    MartĂ­ Micolau
    @martĂ­micolau

    Commentaires sur l'article:

    đŸ”„ populaire

    Vous craignez que quelqu'un n'espionne vos conversations WhatsApp ? Vous aimeriez avoir des conseils sur la façon de vous dĂ©fendre contre de telles menaces ? Alors je pense que vous ĂȘtes venu au bon endroit au bon moment.

    Étant donnĂ© les nombreuses demandes que j'ai reçues Ă  ce sujet, j'ai dĂ©cidĂ© aujourd'hui de m'occuper de votre vie privĂ©e sur WhatsApp : je vous parlerai des principales techniques utilisĂ©es par les attaquants pour intercepter les conversations sur ce service de messagerie trĂšs populaire et, surtout, je vous recommanderai de prendre quelques mesures prĂ©ventives pour Ă©viter que quelqu'un ne fouine dans votre compte. Alors, ĂȘtes-vous prĂȘt Ă  commencer ?



    Je vous le dis tout de suite : heureusement, espionner les messages WhatsApp n'est pas aussi facile que de les lire (ou du moins ne l'est plus), mais malheur Ă  vous si vous baissez la garde ! Nous devons toujours ĂȘtre prudents et suivre toutes ces rĂšgles de bon sens qui nous permettent de mener nos activitĂ©s numĂ©riques de maniĂšre raisonnablement calme. Si vous voulez mieux comprendre ce que je veux dire, lisez la suite, vous trouverez tout expliquĂ© ci-dessous. Nous commencerons par analyser toutes les menaces dont nous devons nous mĂ©fier, puis nous verrons, ensemble, quelles mesures prendre pour les Ă©viter. Bonne lecture !

    Renifler les réseaux sans fil

    L'une des techniques d'espionnage les plus "populaires" consiste à "renifler" les réseaux sans fil à l'aide de logiciels tels que Wireshark (dont j'ai également parlé dans mon tutoriel sur la façon de renifler un réseau sans fil). Le terme "sniffing" désigne une activité de surveillance des réseaux sans fil qui vous permet de capturer toutes les informations qui circulent en clair sur les réseaux sans fil.


    Dans le cas de WhatsApp, un attaquant pourrait utiliser le sniffing pour surveiller le réseau auquel le smartphone de la victime est connecté, mais heureusement, cette technique ne devrait plus fonctionner.


    En fait, fin 2014, les développeurs d'Open Whisper Systems ont annoncé une collaboration avec WhatsApp qui a fait entrer leur chiffrement de bout en bout (appelé TextSecure) à l'intérieur de la célÚbre application de messagerie. 1

    Le cryptage de bout en bout (point à point) est une technologie qui vous permet de protéger les informations contre tout accÚs non autorisé à l'aide d'un systÚme à double clé : une clé publique et une clé privée. Dans le cas spécifique de WhatsApp, la clé publique est partagée avec l'autre partie et permet de crypter les messages sortants. La clé privée, quant à elle, réside uniquement sur le smartphone de chaque utilisateur et est utilisée pour décrypter les messages entrants.

    Cela signifie que les messages quittent le téléphone de l'expéditeur et atteignent le destinataire, via les serveurs de WhatsApp, sous forme cryptée. Seuls les propriétaires des clés utilisées pour les générer, c'est-à-dire les expéditeurs et les destinataires légitimes, sont en mesure de décrypter le contenu.

    Alors, WhatsApp est-il imprenable ? Eh bien, pas vraiment. Le cryptage de bout en bout Ă©limine potentiellement les techniques de suivi, mais il existe malheureusement d'autres "armes" que les attaquants peuvent utiliser pour espionner les messages WhatsApp.


    En outre, nous devons prendre en compte le fait que WhatsApp est un logiciel Ă  code source fermĂ©, c'est-Ă -dire qu'il n'est pas possible d'analyser le code source en profondeur, de sorte que nous ne pouvons pas savoir si la mise en Ɠuvre du cryptage de bout en bout a Ă©tĂ© faite de maniĂšre professionnelle. ou moins.

    Morale de l'histoire : la situation doit ĂȘtre assez calme, mais vous ne devez pas baisser la garde.

    Vol d'identité

    L'un des plus grands dangers pour nos comptes WhatsApp est actuellement le vol d'identité, c'est-à-dire l'accÚs non autorisé à nos conversations grùce à la "ruse" des systÚmes d'authentification du service.

    Vol d'identité via WhatsApp Web

    L'un des moyens les plus faciles d'usurper l'identité de quelqu'un sur WhatsApp est de profiter de la fonction "Stay Connected" de WhatsApp Web, le service qui vous permet d'envoyer et de recevoir des messages WhatsApp sur votre PC en utilisant votre téléphone mobile comme "pont".


    Je vous en ai Ă©galement parlĂ© dans mon billet sur l'utilisation de WhatsApp sur PC : pour accĂ©der Ă  WhatsApp Web, il suffit d'encadrer le code QR qui apparaĂźt sur l'Ă©cran de votre ordinateur avec votre smartphone. Ensuite, si vous laissez la coche en regard de l'Ă©lĂ©ment actif Rester connectĂ©, le service fonctionne sans authentification supplĂ©mentaire. Il suffit que le tĂ©lĂ©phone mobile sur lequel le client original est installĂ© soit connectĂ© Ă  l'Internet (peu importe qu'il se trouve sur le mĂȘme rĂ©seau Wi-Fi que l'ordinateur ou sur d'autres rĂ©seaux).


    Qu'est-ce que cela signifie ? Qu'un attaquant pourrait voler votre tĂ©lĂ©phone avec n'importe quelle excuse, encadrer le code QR WhatsApp Web sur votre ordinateur (ou mĂȘme sur votre tablette, en utilisant le mode d'affichage du bureau inclus dans de nombreux navigateurs) et accĂ©der Ă  vos messages sans que vous vous en rendiez compte.

    Heureusement, il existe une solution pour surmonter ce problÚme : en activant sur votre appareil un systÚme de protection utilisant des données biométriques, comme le déverrouillage de l'appareil par le visage ou l'empreinte digitale, ce systÚme sera requis, à des fins de confirmation, y compris pour l'accÚs. WhatsApp Web / Desktop.

    Clonage d'adresse MAC

    Le clonage d'adresse MAC est une autre technique assez raffinĂ©e que les attaquants peuvent utiliser pour voler l'identitĂ© d'un utilisateur sur WhatsApp. Elle est encore assez efficace mais sa complexitĂ©, et surtout le temps nĂ©cessaire Ă  sa mise en Ɠuvre, font qu'elle n'est pas trĂšs rĂ©pandue.

    L'adresse MAC est un code Ă  12 chiffres qui identifie de maniĂšre unique tous les appareils capables de se connecter Ă  Internet. Il est Ă©galement utilisĂ© par WhatsApp pour vĂ©rifier l'identitĂ© de l'utilisateur. Ainsi, s'il est dĂ©guisĂ© pour ressembler Ă  celui d'un autre tĂ©lĂ©phone, il peut ĂȘtre utilisĂ© pour accĂ©der aux comptes d'autres personnes.

    Pour "cloner" l'adresse MAC d'une personne, l'attaquant en service doit installer des applications ad-hoc sur son smartphone (par exemple BusyBox et Phantom Mac Address pour Android, qui nĂ©cessitent tous deux un root). Il doit ensuite prendre le contrĂŽle du smartphone de la victime, trouver l'adresse MAC (il suffit de se rĂ©fĂ©rer Ă  la section Info du menu Android ou iOS) et dĂ©finir le mĂȘme code sur son tĂ©lĂ©phone.


    Une fois l'opĂ©ration terminĂ©e, l'"espion" doit installer une nouvelle copie de WhatsApp sur son smartphone, l'activer avec le numĂ©ro de la victime et saisir le code de vĂ©rification qui arrive sur le tĂ©lĂ©phone de cette derniĂšre. Comme mentionnĂ©, il s'agit d'une opĂ©ration assez longue, qui n'est pas Ă  la portĂ©e de tout le monde, mais il faut tout de mĂȘme la connaĂźtre afin d'Ă©viter les mauvaises surprises.

    Remarque : sans clonage préalable de l'adresse MAC, il est pratiquement impossible d'activer WhatsApp avec le numéro d'une autre personne. Ou plutÎt, c'est possible mais totalement inutile. Le service, en effet, ne permet d'utiliser qu'un seul smartphone pour chaque numéro de téléphone et, par conséquent, le propriétaire légitime du compte n'aurait qu'à réactiver l'application sur son appareil pour "couper les jambes" de tout espion (ce qui, entre autres, le ferait immédiatement découvrir par la victime).

    Applications de logiciels espions

    Un autre danger dont il faut se méfier sont les applications dites espionnes, des applications qui s'installent directement sur les smartphones des personnes à espionner et qui cachent leur présence.

    MĂȘme les applications de contrĂŽle parental ou les logiciels antivol peuvent ĂȘtre configurĂ©s pour espionner l'utilisateur et prendre des captures d'Ă©cran du smartphone. Je vous en ai parlĂ© en dĂ©tail dans mon tutoriel sur la façon d'espionner les tĂ©lĂ©phones Android.

    Comment se défendre

    À ce stade, vous vous demandez probablement comment vous protĂ©ger de toutes ces menaces. La sĂ©curitĂ© absolue n'existe pas, mais si vous essayez de mettre en pratique tous les conseils que je vais vous donner, vous devriez pouvoir dormir raisonnablement bien.

    • Utilisez toujours la version la plus rĂ©cente de WhatsApp - Les dĂ©veloppeurs de WhatsApp travaillent constamment Ă  la sĂ©curitĂ© de leur logiciel. Si vous voulez dormir relativement sur vos deux oreilles, ouvrez la boutique sur votre smartphone et assurez-vous que vous utilisez la derniĂšre version de l'application.
    • Utilisez un code PIN sĂ©curisĂ© - Si un attaquant vole votre smartphone mais ne peut pas deviner le code PIN pour y accĂ©der, il ne peut pas se tromper. Il est donc essentiel de disposer d'un code de dĂ©verrouillage sur l'Ă©cran de verrouillage et que ce dernier soit suffisamment complexe (donc difficile Ă  deviner).
      • Pour dĂ©finir le code PIN sur Android, allez dans ParamĂštres> SĂ©curitĂ©> Verrouillage de l'Ă©cran> PIN (ou ParamĂštres> SĂ©curitĂ©> Verrouillage de l'Ă©cran> Motif si vous souhaitez utiliser un geste au lieu du code numĂ©rique).
      • Pour dĂ©finir le code PIN sur l'iPhone, allez dans RĂ©glages> Touch ID & Passcode> Modifier le code d'accĂšs.
    • DĂ©sactiver l'affichage des SMS sur l'Ă©cran de verrouillage - Une autre mesure de sĂ©curitĂ© que vous pouvez prendre consiste Ă  dĂ©sactiver les notifications par SMS sur l'Ă©cran de verrouillage. Ainsi, si un pirate tente d'activer WhatsApp avec votre numĂ©ro de tĂ©lĂ©phone et veut voir le code de vĂ©rification du service, il ne pourra pas y parvenir.
      • Pour dĂ©sactiver les SMS sur l'Ă©cran de verrouillage d'Android, allez dans le menu ParamĂštres> SĂ©curitĂ©> Écran de verrouillage> PIN, dĂ©finissez votre PIN et choisissez de ne masquer que les contenus sensibles.
      • Pour dĂ©sactiver les SMS sur l'Ă©cran de verrouillage de l'iPhone, allez dans le menu RĂ©glages> Notifications> Messages et dĂ©cochez Afficher sur l'Ă©cran de verrouillage.
    • VĂ©rifiez vos sessions Web WhatsApp - comme mentionnĂ© ci-dessus, quelqu'un pourrait essayer de voler votre identitĂ© en utilisant le Web WhatsApp. Pour Ă©viter ce risque, allez dans le menu ParamĂštres > WhatsApp Web dans WhatsApp et vĂ©rifiez toutes les sessions actives sur votre compte. S'il y a des suspects, appuyez sur le bouton DĂ©connecter sur tous les ordinateurs et les "espions" perdront la possibilitĂ© d'accĂ©der Ă  WhatsApp Web (car il leur sera demandĂ© de scanner Ă  nouveau le code QR du service).
    • Évitez les rĂ©seaux Wi-Fi publics - mĂȘme si le "reniflage" des rĂ©seaux sans fil n'est plus aussi efficace qu'avant, il est prĂ©fĂ©rable d'Ă©viter les rĂ©seaux Wi-Fi publics. Si vous le pouvez, optez pour le rĂ©seau 3G / LTE de votre opĂ©rateur.
    • Écoutez les conseils de "maman" - si vous voulez Ă©viter que quelqu'un mette son nez dans vos conversations en ligne, Ă©coutez les conseils de votre mĂšre : ne prĂȘtez pas votre tĂ©lĂ©phone Ă  des inconnus, ne laissez pas votre smartphone sans surveillance pendant trop longtemps ... et ne soyez pas en retard la nuit ! :)
    1. Comme le montrent certains tests indĂ©pendants publiĂ©s en ligne, le chiffrement de bout en bout n'Ă©tait initialement appliquĂ© qu'Ă  la version Android de WhatsApp. Sur les autres plateformes logicielles, un systĂšme de cryptage basĂ© sur l'algorithme RC4, notoirement plus vulnĂ©rable aux attaques, a Ă©tĂ© utilisĂ©. Aujourd'hui, cependant, la situation devrait avoir changĂ©, le chiffrement de bout en bout arrive lentement dans toutes les versions de WhatsApp. 
    ajouter un commentaire depuis Comment espionner les messages WhatsApp
    Commentaire envoyé avec succÚs ! Nous l'examinerons dans les prochaines heures.