WhatsApp Web / Desktop
Étrangement, l'un des moyens les plus faciles d'espionner gratuitement l'application WhatsApp d'un autre téléphone est d'utiliser un service inclus directement dans l'application : je parle de WhatsApp Web qui, comme vous le savez probablement déjà, vous permet d'utiliser WhatsApp sur votre PC via votre navigateur.
Le fonctionnement de WhatsApp Web est extrêmement simple, et c'est là que réside le problème ! En se connectant à la page d'accueil du service et en encadrant le QR Code qui apparaît à l'écran, il est en effet possible d'accéder à toutes ses conversations et d'utiliser WhatsApp comme on le fait sur un smartphone.
Où est le risque pour la vie privée dans tout ce mécanisme ? Je vais vous expliquer dans un moment. Si vous laissez la coche à côté de l'élément Rester connecté, WhatsApp Web garde l'accès à WhatsApp ouvert même pour des utilisations ultérieures, de sorte que vous n'avez plus besoin de scanner le code et d'accéder directement aux chats.
Maintenant, puisque WhatsApp Web ne nécessite pas que le smartphone et le PC soient connectés au même réseau sans fil (tant que le smartphone sur lequel l'application est installée est allumé et connecté à Internet, même via un réseau 3G / 4G), un attaquant pourrait voler votre téléphone avec une excuse, encadrer le QR code de WhatsApp Web sur votre PC (ou même sur une tablette) et garder une passerelle toujours ouverte vers vos chats privés.
Cependant, il faut reconnaître que, heureusement, l'espionnage sur WhatsApp Web est devenu un peu plus difficile, car le service envoie rapidement des notifications à chaque accès effectué. En outre, si des systèmes de protection sont actifs sur l'appareil de l'utilisateur à espionner par reconnaissance biométrique, il n'est pas possible d'activer le Web WhatsApp sans le consentement du propriétaire de l'appareil.
En outre, si vous souhaitez vous protéger davantage, suivez les conseils ci-dessous.
- Évitez de prêter votre smartphone aux autres - Aussi banal que cela puisse paraître, ce conseil est le plus efficace de tous !
- Vérifier l'accès à WhatsApp Web: en accédant aux paramètres de WhatsApp sur votre smartphone, vous pouvez vérifier les connexions ouvertes à WhatsApp Web et les fermer, afin d'être invité à scanner à nouveau le code QR. Si vous utilisez un terminal Android, vous pouvez vérifier l'accès à WhatsApp en appuyant sur le bouton ⋮ en haut à droite et en sélectionnant l'élément WhatsApp Web dans le menu qui apparaît. Si vous utilisez plutôt un iPhone, vous pouvez faire de même en allant dans l'onglet des paramètres en bas à droite et en sélectionnant l'élément WhatsApp Web / Desktop sur ce dernier. Une fois que vous avez identifié les sessions web WhatsApp actives, vous pouvez les fermer en appuyant dessus ou, alternativement, vous pouvez appuyer sur l'option de déconnexion sur tous les ordinateurs et fermer tous les accès à WhatsApp Web en une seule fois.
Remarque : les risques associés à WhatsApp Web s'appliquent également à WhatsApp Desktop, le client officiel de WhatsApp pour Windows et macOS. Je vous en ai parlé plus en détail dans mon tutoriel sur l'installation de WhatsApp sur PC.
Applications de logiciels espions
L'un des plus grands dangers pour la confidentialité des conversations sur WhatsApp (et pas seulement) est représenté par les applications espionnes: il s'agit d'applications qui, comme leur définition le suggère assez facilement, se cachent des yeux de l'utilisateur et suivent toutes ses activités : les phrases et les mots tapés sur le clavier (dans ce cas, nous parlons de keylogger), les applications qu'il utilise, les sites web qu'il visite, ses appels entrants et sortants, et bien plus encore.
Contrairement à ce que l'on pourrait imaginer, de nombreuses applications d'espionnage, bien que coûteuses, ne nécessitent pas de connaissances techniques avancées pour être utilisées : il suffit de mettre la main sur le smartphone de la victime, de les installer (souvent via le paquet apk sur Android et via Cydia sur iOS) et de se mettre à l'aise. Si vous ne le croyez pas, essayez de recevoir toutes les données qu'ils ont collectées directement sur votre PC ou votre appareil portable. Si vous n'y croyez pas, essayez de jeter un coup d'œil à iKeyMonitor, l'une des applications d'espionnage les plus populaires sur Android et iOS, que vous pouvez également essayer gratuitement pendant quelques jours.
Les applications d'espionnage, comme nous l'avons mentionné, peuvent être totalement invisibles aux yeux de l'utilisateur, mais cela ne signifie pas qu'il n'y a pas d'indices qui peuvent révéler leur présence. Si vous soupçonnez que votre smartphone a été surveillé avec une telle solution, essayez les conseils suivants pour lever tous les doutes.
- Si vous utilisez un terminal Android, allez dans le menu Paramètres> Sécurité> Administrateurs de l'appareil et vérifiez si parmi les applications qui ont des autorisations pour gérer l'appareil (afin de pouvoir accéder en profondeur au système), il y en a des "suspectes". Si c'est le cas, désactivez-les (en enlevant la coche de leur nom) et désinstallez-les. Si votre appareil a été enraciné, ouvrez l'application SuperSU / SuperUser et vérifiez si parmi les applications qui ont des autorisations d'enracinement actives, certaines peuvent être considérées comme des applications d'espionnage. Là encore, si vous détectez des applications "suspectes", supprimez-les de votre smartphone en suivant la procédure standard de désinstallation des applications Android.
- Si vous utilisez un iPhone, allez dans le menu Réglages>Gestion des appareils et vérifiez les profils personnalisés liés aux applications "suspectes". Si c'est le cas, supprimez les profils et les applications associées. Si le menu Gestion des appareils n'est pas disponible, cela signifie qu'il n'y a pas d'applications sur votre iPhone qui utilisent des profils personnalisés. Si vous avez un iPhone qui a été jailbreaké, ouvrez-le également Cydia et vérifiez s'il y a des applications d'espionnage parmi les paquets installés : si c'est le cas, sélectionnez les paquets et supprimez-les du téléphone en appuyant sur l'option correspondante.
- Ouvrez chaque navigateur et essayez de vous connecter aux adresses localhost : 8888 et localhost : 4444. Certaines applications espionnes utilisent ces adresses pour masquer leur panneau de configuration, de sorte que leur visite peut révéler leur présence.
- Ouvrez le composeur et essayez de taper le code * 12345. Il s'agit d'un autre code secret utilisé par les applications espionnes pour cacher leur panneau de configuration.
Outre les applications d'espionnage, vous devez également vous méfier des applications de contrôle parental et des applications antivol, donc des applications légitimes, également disponibles gratuitement sur le Play Store qui, si elles sont configurées correctement, peuvent devenir des applications permettant d'espionner les activités des utilisateurs.
Quelques exemples : Qustodio (Android / iOS / iPadOS) et Qustodio (Android / iOS / iPadOS) sont deux applications de contrôle parental que vous pouvez télécharger gratuitement.
DE L'ÉCRAN
De même, les applications antivol peuvent être utilisées pour localiser l'utilisateur et contrôler son smartphone à distance. Si vous voulez en savoir plus, je vous ai parlé en détail de toutes les applications que je viens de mentionner dans mon tutoriel sur comment espionner sur Android.
Pour contrer l'action des applications de contrôle parental et des applications antivol, vous pouvez suivre les instructions ci-dessus et lire mon tutoriel sur la façon de supprimer les logiciels espions de votre mobile.
Apps pour détecter l'accès à WhatsApp
Jusqu'à récemment, il existait certaines applications qui, bien que ne permettant pas d'espionner directement les conversations WhatsApp, présentaient néanmoins un risque potentiel pour la vie privée en vous permettant de le faire. surveiller l'accès à whatsapp d'un utilisateur en tapant simplement son numéro de téléphone.
Les applications en question étaient généralement gratuites à télécharger et à essayer, mais pour profiter de la fonction d'exportation de données et les utiliser sans limites, elles nécessitaient généralement un abonnement. C'était très simple : il fallait lancer l'application de surveillance et taper le numéro de l'utilisateur WhatsApp à surveiller. De cette manière, il était possible de voir les heures d'accès à WhatsApp de l'utilisateur à "espionner" et de recevoir des notifications concernant ses activités.
Les applications en question ne sont plus fonctionnelles, heureusement je dirais, mais j'ai pensé vous prévenir quand même de ne pas ignorer ce risque potentiel (bien que peu probable, une éventuelle faille dans WhatsApp pourrait permettre une nouvelle vie à ce type de solution. ).
Clonage d'adresse MAC
Comme vous le savez probablement, WhatsApp ne vous permet pas d'utiliser le même numéro sur plusieurs téléphones. Cela signifie que si un attaquant tente d'activer WhatsApp en utilisant votre numéro de téléphone, bien qu'il ait le smartphone à portée de main et qu'il puisse obtenir le code de vérification sur celui-ci, l'application continuera de fonctionner sur un seul appareil, permettant ainsi à la victime (c'est-à-dire vous) d'exposer immédiatement la tentative d'usurpation d'identité.
La reconnaissance de l'appareil sur lequel un numéro WhatsApp est utilisé se fait grâce à l'adresse MAC, un code à 12 chiffres qui identifie de manière unique tous les appareils capables de se connecter à Internet. C'est un système très efficace, mais pas infaillible. Comme je l'ai expliqué dans mon billet sur la façon de cloner WhatsApp, il existe en fait des applications qui permettent de déguiser l'adresse MAC de votre smartphone et donc de tromper les systèmes de sécurité de WhatsApp en leur faisant croire que vous utilisez le téléphone de la victime et non un autre appareil. Parmi les applications en question, je retiens SpoofMAC pour iPhone et BusyBox et Mac Address Ghost pour Android, mais il existe également d'autres solutions similaires.
La seule façon de se défendre contre cette menace est de ne pas prêter son smartphone à des inconnus. Il serait également bon de définir un code PIN de déverrouillage sécurisé et de masquer l'écran SMS de l'écran de verrouillage (afin de ne pas permettre aux personnes malveillantes de découvrir le code de vérification WhatsApp sans déverrouiller l'appareil).
- Pour définir un code PIN sécurisé sur Android, allez dans le menu Paramètres> Sécurité> Verrouillage de l'écran et sélectionnez l'élément PIN. Évitez d'utiliser des "séquences", qui sont beaucoup plus faciles à deviner que les codes PIN. Pour définir le code PIN sur l'iPhoneà la place, allez dans le menu Settings> Face ID and Passcode ou Touch ID and Passcode et sélectionnez l'élément Change Passcode dans l'écran qui s'ouvre.
- Pour bloquer l'affichage des SMS sur l'écran de verrouillage d'Android, allez dans le menu Paramètres > Sécurité > Verrouillage de l'écran, définissez un code PIN sécurisé et, à la fin de la procédure, choisissez de masquer uniquement le contenu sensible. Pour bloquer l'affichage des SMS sur l'écran de verrouillage de l'iPhone, allez dans Réglages> Notifications> Messages et décochez l'élément Verrouillage de l'écran.
Renifler les réseaux Wi-Fi
Comme je l'ai également expliqué dans mon billet sur la façon de renifler un réseau sans fil, le reniflage de réseau Wi-Fi est une technique qui permet de "capturer" toutes les informations transitant par un réseau sans fil. Elle est efficace lorsque les réseaux "reniflés" ne sont pas sécurisés et/ou que les systèmes qui transportent les données laissent passer les informations en clair, ce qui n'est pas le cas de WhatsApp.
En fait, WhatsApp utilise un système de sécurité appelé " chiffrement de bout en bout", qui protège les messages et tout le contenu multimédia passant par WhatsApp avec des "verrous". Cela garantit que seuls les propriétaires des clés correctes, c'est-à-dire les expéditeurs et destinataires légitimes des messages, peuvent décrypter leur contenu.
En bref, même le fait de renifler un réseau Wi-Fi et de capturer des données WhatsApp serait indéchiffrable pour les méchants (à moins qu'il n'y ait des failles évidentes dans l'implémentation du cryptage par les développeurs de WhatsApp, ce qui est peu probable mais pas impossible). Dans tous les cas, je vous conseille d'être prudent et de ne pas vous connecter aux réseaux publics: préférez toujours les réseaux Wi-Fi privés et les réseaux 3G / 4G des opérateurs téléphoniques.
Si la question liée au chiffrement de bout en bout vous dérange et que vous souhaitez en savoir plus sur la façon de chiffrer WhatsApp, lisez mon tutoriel consacré à ce sujet.