WhatsApp: un ex-employé dénonce de graves négligences, usurpations et journalistes visés. Votre compte est-il en sécurité?

Un ex-employé accuse WhatsApp. Failles, usurpations, journalistes visés. Êtes‑vous protégé? Conseils clés pour sécuriser votre compte.

Un ex-employé de WhatsApp accuse la plateforme de négligences de sécurité ayant permis une usurpation d’identité et une appropriation de comptes visant des journalistes. Des méthodes connues comme le SIM swap et la récupération par SMS auraient servi de porte d’entrée. Face à ces alertes, WhatsApp et sa maison mère Meta vantent leurs outils de protection, mais la pression monte sur la sécurité des comptes.

Ce que révèle l’alerte

L’ancien employé décrit des failles opérationnelles dans les parcours d’inscription et de récupération. Le point de rupture se situe souvent sur le code de vérification par SMS, facile à détourner avec de la ruse ou une attaque télécom. Pour un reporter qui protège ses sources, la menace d’appropriation de compte résonne comme une alarme sourde.

Les attaquants exploitent plusieurs leviers: SIM swap pour capter le numéro, appel vocal qui lit le code, ou demande pressante pour pousser la victime à le transmettre. Ils s’aident d’ingénierie sociale crédible, avec un faux collègue ou un pseudo support WhatsApp. Une fois le code en main, l’accès au compte devient réel, parfois en quelques minutes.

« Ne livrez jamais un code reçu par SMS, même si le message semble fiable. Un interlocuteur légitime ne le demandera pas. »

Après la prise de contrôle, les usurpateurs verrouillent le compte en fixant un code PIN de vérification en deux étapes. Ils écrivent aux contacts et piègent des sources avec des liens malveillants. Le préjudice atteint la réputation, l’intégrité des enquêtes et la sécurité des témoins.

Pourquoi les journalistes deviennent des cibles

Les journalistes manipulent des informations sensibles et affichent souvent leur numéro WhatsApp pour faciliter les échanges. Des États, des groupes criminels ou des collecteurs de données s’y intéressent. La messagerie chiffrée protège le contenu, mais pas l’usurpation d’identité si un attaquant obtient l’accès au compte.

Le scénario est simple: un faux fixeur prend contact, annonce une urgence et déclenche une demande de code. Parfois, l’assaillant réutilise un compte déjà compromis pour se donner de la crédibilité. Cette ingénierie sociale de proximité fait tomber les défenses les plus aguerries.

Usurpation d’identité et appropriation de comptes signalées par un ex-employé
Techniques clés: SIM swap, code SMS, pression psychologique
Journalistes pris pour cibles, sources et contacts exposés

Se protéger dès maintenant sur WhatsApp

Activez la vérification en deux étapes et fixez un code PIN robuste, distinct de vos habitudes. Ajoutez un e‑mail de récupération pour limiter le blocage en cas d’attaque. Demandez à votre opérateur un verrouillage de la ligne contre le SIM swap et changez le code de votre messagerie vocale par défaut. Surveillez les alertes d’enregistrement et les nouveaux appareils liés.

« Traitez toute demande de code comme suspecte. Un code de connexion n’est pas un moyen d’authentifier un appelant, c’est la clé de votre compte. »

Ne partagez jamais de code reçu par SMS ou par appel, même avec un contact de confiance. Verrouillez l’app avec empreinte ou code, et mettez à jour smartphone et applications. Si WhatsApp vous signale une tentative d’inscription que vous ne reconnaissez pas, réagissez tout de suite et informez votre rédaction.

Pour un reporter, un numéro public accroît le risque. Utilisez un numéro dédié à vos échanges sensibles et limitez sa diffusion. Ajustez la confidentialité: photo, statut, dernier vu et groupes, afin de réduire la surface d’attaque sociale. Préparez des canaux de secours si un compte devient indisponible.

Dans une rédaction, formalisez un protocole d’incident: qui alerter, comment récupérer l’accès, quelles preuves conserver. Testez la réponse à une appropriation de compte avec des exercices réguliers. Informez les sources des signaux d’alerte et donnez-leur un mot de vérification pour confirmer votre identité hors bande.

Position de WhatsApp et cadre réglementaire

WhatsApp met en avant le chiffrement de bout en bout, un bug bounty et des protections comme “Compte protégé” qui requiert une confirmation sur l’ancien appareil lors d’un nouvel enregistrement. Le différend porte moins sur le chiffrement que sur les flux d’onboarding et de récupération, jugés trop permissifs face aux attaques télécom et à la fraude d’identité. Les utilisateurs restent exposés si la vérification en deux étapes n’est pas activée par défaut.

En Europe, le RGPD impose la sécurité du traitement, et le DSA pousse à réduire les risques systémiques. Les régulateurs s’intéressent aux détournements de comptes, car ils menacent la vie privée et l’accès à l’information. Une pression accrue pourrait conduire à des mesures plus fortes contre le SIM swap et l’usurpation d’identité.

Ce qu’il faut surveiller dans les prochains mois

Attendez-vous à des changements dans la récupération de compte et l’activation par défaut de la vérification en deux étapes, au moins pour les profils à risques comme les journalistes. Des notifications plus claires lors d’un enregistrement suspect peuvent réduire les dégâts. Un mode “haute protection” imposant des vérifications supplémentaires ferait baisser l’impact des attaques.

Le maillon télécom reste crucial. Les opérateurs durcissent l’ouverture de ligne, l’eSIM et le portage, avec des vérifications d’identité plus strictes. Un verrouillage anti-portage piloté par l’utilisateur limiterait les détournements, surtout quand le numéro sert de clé d’accès à WhatsApp.

Côté plateforme, des signaux de confiance plus visibles aideraient les contacts à repérer une usurpation d’identité. Détection de comportements anormaux, alertes renforcées et frictions ciblées lors d’un changement d’appareil freineront les prises de contrôle. Les équipes sécurité doivent collaborer avec les rédactions pour détecter les campagnes visant les journalistes.

Pour chaque utilisateur, gardez un œil sur les appels ou messages inattendus qui pressent de partager un code. Vérifiez toujours par un canal séparé l’identité d’un contact qui demande de l’argent ou des fichiers. En cas d’attaque, gardez les journaux, l’heure des SMS, le nom de l’opérateur et signalez l’appropriation de compte à la fois à WhatsApp et à votre employeur. La répétition des bons réflexes renforcera votre sécurité WhatsApp sur la durée.

Tags :WhatsApp

Noah Roig

WhatsApp: un ex-employé dénonce de graves négligences, usurpations et journalistes visés. Votre compte est-il en sécurité?

Un ex-employé accuse WhatsApp. Failles, usurpations, journalistes visés. Êtes‑vous protégé? Conseils clés pour sécuriser votre compte.

Ce que révèle l’alerte

Pourquoi les journalistes deviennent des cibles

Se protéger dès maintenant sur WhatsApp

Position de WhatsApp et cadre réglementaire

Ce qu’il faut surveiller dans les prochains mois

Avant d’en croquer, voici les chocolats à éviter selon l’enquête choc de l’UFC-Que Choisir

Au rayon couscous, vous hésitez ? Selon 60 Millions, cette marque est à éviter au supermarché

Plantation d’automne : préparez votre sol dès maintenant pour un jardin réussi au printemps, même en débutant

À votre insu, ils suivent votre voiture: les ruses des voleurs et comment repérer une balise cachée

Vous faites du tri ? Depuis le 1er janvier, ne jetez plus vos vêtements: où les déposer pour éviter une amende

Ne jetez plus l’eau de riz : avant de cuisiner, cette astuce coréenne élimine jusqu’à 90 % des pesticides sur vos légumes

Sous la douche, on le fait tous: ces erreurs qui abîment votre santé, l’alerte des médecins