L’arnaque au code à 6 chiffres sur WhatsApp frappe à nouveau car elle exploite la confiance que nous accordons à nos contacts pour nous inciter à remettre les clés de notre compte.
Elle revient cycliquement, change de forme et continue de faire des victimes : nous parlons de l’une des arnaques les plus répandues de ces dernières années, l’arnaque au code à 6 chiffres sur WhatsApp. Elle est frappante car elle exploite deux éléments très puissants : la confiance que nous accordons à nos contacts et les mécanismes de sécurité de l’application elle-même qui, avec plus de trois milliards d’utilisateurs dans le monde, reste une cible privilégiée pour les cybercriminels, dont le but est d’amener les gens à remettre spontanément les clés de leur compte.
Le mécanisme. L’arnaque suit un schéma simple et éprouvé. Cela commence par la réception d’un message d’un contact de votre carnet d’adresses, contact qui a pourtant déjà été piraté par l’attaquant, qui dispose de l’historique de discussion avec la victime pour mener au mieux sa tromperie. Pour cette raison, le texte a souvent un ton rassurant et personnalisé, par exemple : « Salut France’, tu as dû recevoir un code par erreur de WhatsApp, peux-tu me le renvoyer ?« .
Peu de temps après, ou au même moment, un SMS contenant un code numérique à six chiffres est reçu sur le téléphone. Ce code vient directement de WhatsApp, c’est le code de vérification nécessaire pour activer le compte sur un nouvel appareil, et c’est l’application elle-même qui le génère, mais c’est le fraudeur qui a déclenché son envoi, qui a lancé la procédure d’accès en saisissant le numéro de la victime sur un autre smartphone. En d’autres termes, le criminel ne voit pas ce code et ne peut pas l’intercepter : il peut seulement convaincre la victime de le lui transmettre. Si cela se produit, le système de sécurité de l’application est contourné de l’intérieur et le compte passe immédiatement sous le contrôle de l’attaquant, à l’exclusion du propriétaire légitime.
Le point faible. À ce stade, une question se pose : comment l’escroc a-t-il repris le compte de l’ami qui écrit en premier ? Dans la plupart des cas, c’est exactement le même mécanisme. L’arnaque se propage en chaîne : une première victime abandonne le code à six chiffres, perd l’accès à son profil et devient, contre son gré, le parfait cheval de Troie pour s’en prendre à d’autres contacts. En amont, cependant, l’origine est encore plus banale : un smartphone volé ou perdu, sans verrouillage d’écran efficace, ou protégé par un code PIN faible ou facilement devinable.
Les dégâts. Lorsque l’arnaque réussit, les dégâts sont immédiats : le propriétaire légitime est évincé du compte, tandis que l’attaquant obtient un accès complet aux chats, aux photos, aux messages vocaux et au carnet d’adresses.
À partir de là, il peut continuer à diffuser la même demande de « code envoyé par erreur », ou aller plus loin, en transmettant des liens malveillants, des demandes d’argent ou des messages sur mesure utilisant de véritables informations personnelles. Dans le pire des cas, le compte peut être saisi pendant une longue période, les données de récupération étant modifiées, rendant ainsi nécessaire l’intervention des secours ou la déclaration aux autorités.
Comment se défendre. La protection la plus efficace est aussi la plus simple : ne partagez jamais les codes de contrôle, même avec des personnes que vous connaissez. Un code à 6 chiffres n’a de sens que pour ceux qui en font la demande personnellement et à ce moment précis. Il est essentiel d’activer la vérification en deux étapes de WhatsApp, qui ajoute un code PIN personnel requis lors de l’enregistrement du numéro, et d’activer les notifications de sécurité, qui vous alertent lorsque les clés cryptographiques d’un compte changent.
En cas de vol, vous devez immédiatement tenter de le restaurer sur un nouvel appareil en saisissant votre numéro et, si cela ne suffit pas, procéder à la désactivation et au signalement, en alertant vos contacts pour rompre la chaîne. L’arnaque ne fonctionne que tant qu’il y a quelqu’un qui baisse la garde alors que, pour interrompre le mécanisme, il suffirait de ne rien faire.
