Un nom au lieu d'un numéro
Cette nouveauté sur WhatsApp pourrait faire le bonheur des escrocs

WhatsApp introduira bientôt les noms d'utilisateur à la place des numéros de téléphone. Problème: des noms évoquant des banques ou des institutions peuvent être réservés par n'importe qui, ouvrant la voie aux arnaques par hameçonnage et à l'usurpation d'identité.
1/4
Désormais, un nom suffira à la place d'un numéro. La phase de réservation des nouveaux noms d'utilisateur a débuté début juillet.
Photo: Shutterstock
Tobias_Bolzern_Redaktor Digital_Blick_3-Bearbeitet.jpg
Tobias Bolzern

Un clic, et voilà qu'un nom d'utilisateur WhatsApp est réservé. Celui-ci peut sembler officiel, sérieux ou digne de confiance. Mais attention: rien ne garantit que l'entreprise, la banque ou l'institution dont il porte le nom en soit réellement à l'origine. Sur WhatsApp, le nom d'utilisateur appartient simplement à la première personne qui le réserve.

Reprenons depuis le début. WhatsApp est en train de revoir la manière dont les utilisateurs peuvent se retrouver sur la messagerie. Jusqu'à présent, il fallait disposer d'un numéro de téléphone. A l'avenir, un nom d'utilisateur suffira, à l'image d'Instagram. L'avantage est évident: il ne sera plus nécessaire de communiquer son numéro pour envoyer un message.

La maison mère de WhatsApp, Meta, a lancé début juillet la phase de réservation des noms d'utilisateur. La fonctionnalité sera disponible «plus tard cette année». D'ici là, la règle est simple: premier arrivé, premier servi.

Une recette pour le phishing

C'est précisément ce qu'a voulu vérifier Blick. Nous avons tenté de réserver des noms d'utilisateur reprenant ceux de banques comme UBS, Raiffeisen ou PostFinance, ainsi que ceux d'entreprises publiques. Beaucoup de ces noms exacts n'étaient déjà plus disponibles. Impossible toutefois de savoir s'ils ont été bloqués par WhatsApp ou s'ils ont déjà été réservés.

Le problème réside surtout dans les variantes à l'apparence officielle, qui restent souvent accessibles. C'est le cas, par exemple, de «Twint.schweiz». La rédaction a volontairement choisi de ne pas dévoiler les autres exemples qu'elle a trouvés, afin de ne pas donner d'instructions aux escrocs.

Pourquoi est-ce préoccupant? Une personne ayant réservé un tel nom d'utilisateur peut contacter des inconnus sans avoir à révéler son numéro de téléphone. Un message prétendument envoyé par une banque, accompagné d'un lien ou d'un formulaire de connexion, et tous les ingrédients d'une arnaque par hameçonnage sont réunis.

Un ministère forcé de réagir

La Suisse est loin d'être un cas isolé. Changpeng Zhao, le fondateur de la plateforme d'échange de cryptomonnaies Binance, a lui aussi voulu réserver le nom d'utilisateur «cz_binance». Mais, comme il l'a lui-même indiqué, quelqu'un l'avait déjà réservé avant lui.

Contenu tiers
Souhaitez-vous voir ces contributions externes (par exemple Instagram, X et d'autres plateformes) ? Si vous acceptez, des cookies peuvent être installés et des données peuvent être transmises à des fournisseurs externes. Cela permet l'affichage de contenus externes et de publicités personnalisées. Votre décision s'applique à l'ensemble de l'application et peut être révoquée à tout moment dans les paramètres.

En Inde, le site spécialisé TechCrunch a constaté que certains noms d'utilisateur sensibles restaient disponibles, comme «indiamodi» pour le Premier ministre Narendra Modi ou «rbi_verify» pour la banque centrale du pays. Un constat inquiétant, alors que plus de 500 millions de personnes utilisent WhatsApp en Inde.

Face à ces risques, le gouvernement indien a tout de suite réagi. Dans une directive adressée à Meta, le ministère de l'Electronique a estimé que cette fonctionnalité augmentait les risques de fraude en ligne, d'hameçonnage et d'usurpation d'identité.

Meta conteste

Blick a demandé à Meta comment l'entreprise entendait protéger les noms des banques, des administrations et des sociétés liées à la Confédération en Suisse. L'objectif était notamment de savoir quels critères seraient utilisés pour bloquer certaines variantes de noms et avec quelle rapidité un nom d'utilisateur serait retiré en cas d'utilisation abusive.

Meta s'est contenté de faire une déclaration générale, sans apporter de réponses précises aux différentes question. Un porte-parole de WhatsApp a toutefois assuré que les noms les plus connus étaient bloqués de manière préventive, notamment ceux des célébrités, des administrations, des comptes vérifiés ainsi que les variantes de noms déjà connus.

Les tests menés par Blick semblent toutefois contredire cette affirmation. Le média est en effet parvenu, dans la plupart des cas, à réserver des variantes à consonance officielle d'institutions suisses, parfois même accompagnées de l'extension «.support».

Meta affirme néanmoins avoir prévu plusieurs mesures de protection. Les utilisateurs contactés pour la première fois via un nom d'utilisateur pourront notamment vérifier si le compte est récent, si son adresse électronique est située à l'étranger ou encore s'ils ont des groupes en commun avec cet utilisateur. L'entreprise prévoit également de limiter le nombre de personnes inconnues qu'un même compte peut contacter et de bloquer les tentatives répétées.

Twint teste sa propre chaîne

Chez Twint, le problème est pris très au sérieux cheux, assure la porte-parole de la société Demet Biçer, à la demande de Blick. «La protection de nos utilisateurs est notre priorité absolue». L'entreprise rappelle qu'elle ne demande jamais à ses clients de communiquer leurs identifiants, leurs codes ou leurs codes PIN par messagerie.

Twint a-t-elle elle-même réservé des noms d'utilisateur sur WhatsApp? L'entreprise refuse de répondre à cette question, invoquant des raisons de sécurité. La société précise par ailleurs qu'elle ne propose actuellement aucun service d'assistance à la clientèle via WhatsApp.

Elle teste toutefois en interne son propre canal WhatsApp Business, destiné à diffuser des informations liées à l'application. Les utilisateurs devront s'y abonner pour le recevoir. Sa date de lancement n'est, pour l'heure, pas connue.

Articles les plus lus