close
    search Buscar

    Comment espionner WhatsApp

    Qui suis-je
    Alejandra Rangel
    @alejandrarangel

    Commentaires sur l'article:

    🔥 populaire

    Comment fonctionne le cryptage WhatsApp

    En novembre 2014, les développeurs de Systèmes ouverts chuchotement ont annoncé une collaboration avec WhatsApp visant à amener leur système à chiffrement de bout en bout (TextSecure) dans l'application de messagerie mobile populaire. Le chiffrement de bout en bout fonctionne avec un paire de clés: un privé et un public. Là Clé privée il réside exclusivement sur notre smartphone et sert à décrypter les messages reçus de l'extérieur. Là clé publiqueà la place, il est partagé avec notre interlocuteur et est utilisé par ce dernier pour crypter les messages qui nous sont délivrés (et inversement). Au milieu, il y a les serveurs WhatsApp, qui agissent comme des "postiers", c'est-à-dire qu'ils reçoivent des messages cryptés (donc illisibles à la fois pour les gestionnaires de services et pour toute personne malveillante) et les transmettent au téléphone du destinataire.



    L'avantage du cryptage de bout en bout est que tout se passe à une vitesse fulgurante et sans que l'utilisateur n'ait à lever le petit doigt. Le seul potentiel inconnu réside dans l'application effective de ce système. WhatsApp, en fait, est un logiciel à code source fermé et il n'est pas possible de savoir avec une certitude absolue comment il gère les messages. La seule chose qui peut être faite - et que plusieurs chercheurs ont essayé de faire - est d'examiner le trafic de données de l'application avec des logiciels tels que Wireshark (Je vous en ai parlé dans mon article sur comment renifler un réseau sans fil, vous vous souvenez ?) e Yowsup.

    Certains de ces tests, comme celui réalisé par Heise en avril 2015, ont montré que le cryptage de bout en bout n'était utilisé que sur la version Android de WhatsApp. Les autres ont continué à utiliser un système de cryptage basé sur l'algorithme RC4, qui ne fonctionnait qu'en sortie (rendant ainsi les messages sur les serveurs WhatsApp potentiellement lisibles) et n'était pas considéré comme sûr depuis plusieurs mois. Mais maintenant, la situation a changé, le chiffrement de bout en bout est également arrivé sur d'autres plateformes (iOS, Windows Phone, etc.) et couvre tous les contenus véhiculés par l'application : messages, discussions de groupe, vidéos, photos, etc.



    Nous pouvons donc dire que WhatsApp est raisonnablement sûr; capturer les messages qui circulent sur ses serveurs devrait être une entreprise très difficile, mais il est juste de garder un peu de doute quant à l'incapacité d'analyser en profondeur le code source de l'application. Pour plus de détails sur le cryptage de bout en bout et sa mise en œuvre dans WhatsApp, veuillez vous référer à mon tutoriel sur la façon de crypter WhatsApp.

    Comment espionner WhatsApp : techniques d'ingénierie sociale

    Comme nous venons de le dire, capturer des messages WhatsApp en essayant de « renifler » les données qui transitent sur le réseau sans fil utilisé par le smartphone, grâce au cryptage de bout en bout, n'est plus aussi simple qu'avant. Mais il existe des techniques pour espionner WhatsApp, moins raffiné, qui peut tout de même faire mouche. Ces techniques prévoient un accès physique au smartphone de la victime et impliquent donc les soi-disant ingénierie sociale.

    Dans le jargon technique, l'expression ingénierie sociale fait référence à toutes les activités qui exploitent la psychologie humaine pour escroquer la victime d'une cyberattaque. Cela signifie qu'un attaquant pourrait se faire passer pour un ami (ou en tout cas fiable) et vous demander d'emprunter votre téléphone pour les raisons les plus triviales (par exemple passer un coup de fil) puis mettre son nez dans vos données personnelles, ou dans vos conversations WhatsApp. .

    Voici quelques exemples d'attaque directe sur WhatsApp qui nécessite un accès physique au téléphone, et donc une approche par ingénierie sociale.

    Espionner WhatsApp via WhatsApp Web / Desktop

    WhatsApp Web est un service offert gratuitement par WhatsApp qui vous permet de lire et d'envoyer des messages depuis votre ordinateur en utilisant votre smartphone comme "pont". Je vous ai expliqué en détail son fonctionnement dans mon tutoriel sur l'utilisation de WhatsApp sur PC, où je vous ai également parlé du client WhatsApp officiel pour Windows et macOS qui fonctionne de la même manière.



    Pour utiliser WhatsApp Web et le client WhatsApp officiel pour ordinateurs, connectez-vous simplement à une page Web ou ouvrez le client WhatsApp et scannez un code QR qui apparaît sur l'écran de l'ordinateur à l'aide de la fonction WhatsApp appropriée sur le smartphone. Après cela, si vous laissez la coche sur l'option active Restez connecté, l'accès au service s'effectue automatiquement à chaque fois que le smartphone est connecté à Internet.

    Ce qui est encore plus important à souligner, c'est que l'ensemble cela fonctionne même si votre smartphone et votre ordinateur ne sont pas connectés au même réseau sans fil, cela signifie que les deux appareils peuvent également être à une distance considérable l'un de l'autre, l'important est d'avoir fait le premier accès avec le QR code et de garder la coche sur l'option « Rester connecté ».

    Qu'est-ce que ça veut dire? Cela signifie qu'un attaquant pourrait emprunter le téléphone de la victime sous n'importe quel prétexte, après quoi il pourrait accéder à WhatsApp Web ou au client WhatsApp à partir de son ordinateur portable (ou même de son smartphone / tablette, permettant la vue sur le bureau du site ou en utilisant des applications qui sont basés sur WhatsApp Web) et accèdent ainsi aux conversations de l'utilisateur à espionner.

    Cependant, il faut préciser que cette solution peut ne pas être envisageable, dans le cas où l'utilisateur a paramétré des protections de reconnaissance biométrique sur son appareil, comme le déverrouillage avec le visage ou l'utilisation de l'empreinte digitale. Dans ce cas précis, il n'est donc pas possible d'accéder WhatsApp Web, sans l'autorisation du propriétaire de l'appareil.


    Espionner WhatsApp en déguisant l'adresse MAC

    Il Adresse MAC (acronyme de Media Access Control) est une adresse à 12 chiffres qui permet d'identifier de manière unique les cartes réseau des PC et, plus généralement, tous les appareils capables de se connecter à Internet, comme les smartphones.


    En masquant l'adresse MAC de son smartphone, un attaquant pourrait « tromper » WhatsApp et installer une copie de l'application sur son téléphone afin de recevoir tous les messages de la victime. Heureusement, il s'agit d'une opération assez complexe qui prend beaucoup de temps à réaliser, mais il est bon de la connaître pour éviter que certains « rusés » puissent la mettre en pratique. Ci-dessous, j'illustre les différentes étapes que vous devez suivre pour masquer l'adresse MAC de votre téléphone et installer une copie "clonée" de WhatsApp.

    • Dans un premier temps, pour masquer l'adresse MAC de votre smartphone, vous devez déverrouiller le système d'exploitation avec des opérations telles que root sur Android ou jailbreak sur iPhone et installer des applications adaptées à cet effet (par ex. SpoofMAC pour iPhone et l'appairage BusyBox-Fantôme d'adresse Mac Pour Android).
    • Ensuite, toutes les copies de WhatsApp sur l'appareil doivent être supprimées et prêtes à prendre des mesures.
    • L'action, dans ce cas, consiste à emprunter le smartphone à la personne à espionner et à effectuer ces deux opérations.
      • Découvrez l'adresse MAC de l'appareil (sur Android il suffit d'aller dans le menu Paramètres> À propos du téléphone> État, sur iPhone dans le menu Paramètres> Général> Info> Adresse Wi-Fi).
      • Définissez l'adresse MAC du téléphone à espionner sur votre smartphone.
      • Installez WhatsApp sur votre smartphone et activez-le à l'aide du numéro de téléphone de la victime (sur lequel le code d'activation de l'application sera ensuite délivré).

    Espionner WhatsApp en utilisant le numéro de téléphone de la victime

    Certains sites suggèrent que espionner WhatsApp en installant une copie de l'application sur son téléphone et en faisant livrer son code d'activation sur le smartphone de la victime (qui doit donc être temporairement à portée de main)

    Cette technique ne fonctionne pas, ou plutôt, elle ne fonctionne pas longtemps car WhatsApp permet d'associer des numéros de téléphone à un seul appareil à la fois. Cela signifie qu'en activant deux smartphones avec le même numéro de mobile, le premier cesse de fonctionner et la victime - heureusement - se rend immédiatement compte de l'utilisation non autorisée de son compte.

    Espionner WhatsApp avec des applications de contrôle parental et des applications d'espionnage

    Sur le marché, il existe de nombreuses applications de contrôle parental, presque toujours payantes mais avec des versions d'essai gratuites, qui permettent de surveiller les activités effectuées sur un smartphone, de contrôler le téléphone à distance et de capturer des captures d'écran à distance. Eh bien, certains d'entre eux pourraient également être exploités à des fins illégales et utilisés pour espionner les messages échangés sur WhatsApp ou d'autres systèmes de messagerie.

    Parmi les applications de contrôle parental les plus efficaces et faciles à utiliser actuellement disponibles sur le marché, je voudrais souligner Qustodio pour Android et iOS e "Temps d'écran". qui est également disponible pour Android et iOS. Ces deux applications, une fois installées sur le smartphone de la victime, vous permettent de savoir si et quand la victime accède à WhatsApp et vous permettent de bloquer ou de limiter l'utilisation de l'application à distance. Ils ne permettent pas de capturer directement les conversations échangées au sein du service, mais ils incluent d'autres fonctionnalités très envahissantes pour la confidentialité.

    Encore plus dangereux du point de vue de WhatsApp sont les applications d'espionnage, c'est-à-dire des applications conçues exclusivement pour espionner le smartphone de la victime, qui sont totalement invisibles et permettent également de récupérer les messages tapés sur le clavier du téléphone.

    Parmi les applications d'espionnage les plus populaires en ce moment, il y a iKeyMonitor qui est compatible à la fois avec Android et iPhone, mais heureusement c'est assez difficile à mettre en place et, surtout, c'est assez cher car il coûte 22,49 $ / mois (après 3 jours gratuits essai).

    Pour en savoir plus sur Qustodio, Screen Time et d'autres applications pouvant être utilisées à des fins d'espionnage, consultez mes articles sur la façon d'espionner un téléphone portable et d'espionner les téléphones portables Android.

    Application pour surveiller l'accès à WhatsApp

    Ils ne peuvent pas être des applications correctement définies pour espionner WhatsApp, mais sachez qu'il existe également des applications qui vous permettent de surveiller l'accès à WhatsApp par un utilisateur, en notant les heures des dernières connexions au service et le temps passé à l'intérieur de celui-ci. Ce sont des solutions particulièrement « désagréables » car elles fonctionnent à distance et ne nécessitent pas d'accès au smartphone de la victime (elles utilisent en effet des données publiques fournies par WhatsApp et ne peuvent donc pas être correctement définies comme une application d'espionnage).

     

    Comment se protéger des espions

    Après avoir fait ce tour d'horizon "effrayant" des techniques d'espionnage les plus populaires pour les conversations WhatsApp, voyons quelques conseils pratiques sur la façon de vous défendre contre les intrus. Ce sont des règles simples de bon sens à suivre pour éviter l'usurpation d'identité et autres mauvaises surprises (pas forcément liées à WhatsApp).

    • Utiliser un code PIN sécurisé - le premier conseil que je voudrais vous donner est d'utiliser un code PIN sécurisé pour déverrouiller l'écran de verrouillage du smartphone (non, 1111 et 1234 ne sont pas des codes PIN sécurisés !). Vous pouvez modifier le code PIN très facilement à l'aide du menu des paramètres de votre smartphone.
      • Android - Paramètres> Sécurité> Verrouillage de l'écran> PIN (ou Motif si vous préférez utiliser un geste au lieu du PIN numérique).
      • iPhone - Paramètres> Touch ID et code> Modifier le code.
    • Désactiver les SMS dans l'écran de verrouillage - si vous voulez éviter le risque qu'un attaquant active une copie "clonée" de WhatsApp en délivrant un SMS de confirmation sur votre smartphone, désactivez l'affichage des SMS sur l'écran de verrouillage (de cette manière, tout attaquant doit avoir un accès complet au smartphone pour exécuter son plan et ne pourra pas le faire avec le téléphone verrouillé).
      • Android - Paramètres> Sécurité> Verrouillage de l'écran> PIN. Après avoir défini le code PIN, vous pouvez choisir de ne pas afficher les notifications du tout (pour n'importe quelle application) ou de masquer uniquement le contenu sensible. Si vous choisissez cette deuxième option, vous ne pouvez désactiver l'affichage des SMS que dans l'écran de verrouillage.
      • iPhone - Paramètres> Notifications> Messages> décochez l'option Afficher dans "Écran de verrouillage".
    • Vérifiez vos sessions Web WhatsApp - comme nous l'avons vu précédemment, il est possible de violer la vie privée des utilisateurs de WhatsApp en activant le service Web WhatsApp "illégalement". Si vous craignez que quelqu'un ait effectué une telle opération contre vous, vérifiez les sessions Web WhatsApp actives pour votre compte et, si vous en trouvez des suspects, désactivez-les. Pour vérifier les sessions Web WhatsApp ouvertes pour votre compte, accédez au menu Paramètres> WhatsApp Web / Bureau. Pour les désactiver tous, cependant, appuyez d'abord sur le bouton Déconnectez-vous de tous les ordinateurs et alors Couper.

    • Réactivez votre compte immédiatement en cas de désactivation - si quelqu'un a activé une deuxième copie de WhatsApp en utilisant votre numéro, le service cessera de fonctionner sur votre smartphone. Si soudainement votre compte est désactivé, activez-le à nouveau et contactez le support WhatsApp à support@whatsapp.com pour signaler qu'ils veulent probablement voler votre identité.
    • N'utilisez pas de logiciel espion - de nombreuses applications d'espionnage sont annoncées sur Internet et promettent de capturer tous les messages WhatsApp. Il y en a très peu qui fonctionnent vraiment. Dans la plupart des cas, ce sont de très bonnes escroqueries, voire des logiciels malveillants visant à voler les données des utilisateurs à des fins illégales. Essayez de rester loin d'eux !
    • Ne prêtez pas votre smartphone au premier qui arrive - ce conseil pourrait aussi nous être donné par nos grands-mères, mais il vaut toujours mieux réitérer certaines notions !

    ATTENTION: ce guide a été rédigé à titre indicatif seulement. Espionner les conversations des autres est un crime puni par la loi, je n'assume donc aucune responsabilité quant à la façon dont vous utiliserez les informations contenues dans l'article.

    ajouter un commentaire de Comment espionner WhatsApp
    Commentaire envoyé avec succès ! Nous l'examinerons dans les prochaines heures.