WhatsApp
Whatsapp © Getty

Piratage de Whatsapp, arnaques par sms…: « Tout le monde se fait avoir, même les spécialistes »

Celine Bouckaert
Celine Bouckaert Journaliste au Vif

Selon le site Cybernews, WhatsApp a été victime d’une gigantesque fuite de données: les numéros de GSM de 487 millions d’utilisateurs issus de 84 pays ont été dévoilés. Le piratage toucherait près de 3,2 millions de Belges. Le point avec Axel Legay, professeur en cybersécurité à l’UCLouvain.

L’auteur du piratage n’a pas spécifié comment il s’était procuré les données des utilisateurs WhatsApp. En revanche, il a déclaré à CyberNews qu’il demandait 2 500 dollars pour la base de données britannique, 7 000 dollars pour la base américaine, et 2 000 dollars pour les données allemandes. On ignore combien il demande pour les données belges.

Comment WhatsApp a-t-il pu être touché par une telle fuite?

Axel Legay: il y a toujours plusieurs causes possibles. Meta, la maison mère de WhatsApp, n’a pas communiqué sur la cause. Soit, il y a vraiment eu une fuite, soit quelqu’un s’est introduit dans un système et là, WhatsApp ne sera pas fier de le dévoiler. Si WhatsApp peut faire une communication positive, on saura ce qu’il s’est passé, et sinon, Meta espérera que les gens oublient la fuite. Quand ils sont victimes d’une cyberattaque, les gens ont très peur de l’admettre et d’expliquer comment ils en ont été victimes. Souvent, ils ont honte alors que tout le monde se fait avoir. Cette fuite n’est pas bonne pour la réputation de WhatsApp, et en plus, ce sont des données que Meta pourrait monétiser. Si d’autres les possèdent, outre leur réputation, ils perdent aussi des parts de marché.

Que vont faire les pirates de ces numéros de GSM ?

Il y a plusieurs possibilités. La plus évidente, c’est de les vendre à des gens qui vont les utiliser pour de la publicité. La deuxième possibilité, c’est de s’en servir pour faire du hameçonnage et vous piéger. La troisième, c’est l’usurpation d’identité, qui est plus dure à mettre en œuvre. Le simple phishing peut déjà fonctionner: quand ils reçoivent un message contenant un lien, beaucoup de gens cliquent. Ces numéros de GSM peuvent donc être achetés par des pirates qui vont essayer de se faire de l’argent en escroquant les utilisateurs. Ils peuvent aussi passer par des data broker, qui les revendront à des compagnies par la suite. Il y a une gradation: certaines choses sont plus faciles à mettre en œuvre. Un phishing est plus général et plus rapide qu’une usurpation d’identité, par exemple.

Pensez-vous que les gens vont privilégier d’autres services de messagerie tels que Signal et Telegram ?

Meta se heurte à des problèmes de données depuis de nombreuses années, mais leurs services sont clé-sur-porte, tandis que Signal et Telegram sont des services de messagerie perçus pour les connaisseurs, avec souvent moins de services. De plus en plus de gens passent sur ces messageries ou même sur des messageries encore plus spécialisées, mais il y a toujours l’attrait de la généralité, et le fait d’être à la page. Si tous vos amis ont WhatsApp, il faut que vous l’ayez aussi. 

Comment éviter d’être victimes de ce genre de pratiques ?

Surtout ne pas répondre à des numéros inconnus, ne pas cliquer sur leurs messages, mais expliquer que tout le monde peut être victime de piratage. Cela m’est déjà arrivé, et à mes collègues aussi. C’est important de savoir que tout le monde se fait avoir, d’une façon ou d’une autre. L’important, c’est de s’en rendre compte très vite et surtout de le signaler. Veillez à ne pas cliquer sur des liens bizarres que vous ne connaissez pas. Idéalement, il faudrait restreindre les informations que l’on donne sur son téléphone portable tout en sachant que pour beaucoup de gens, il est devenu un compagnon de vie. C’est un peu compliqué de dire aux gens ‘achetez un smartphone, mais ne l’utilisez pas à pleine mesure de ses capacités’. Il faut donc surtout miser sur la prévention. Rappelez-vous que la plupart des démarches officielles banques et compagnie ne se font jamais sans que vous les ayez sollicitées, donc forcément, si on vous sollicite, c’est qu’on veut vous arnaquer.

Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici

Contenu partenaire