Nouvelle arnaque WhatsApp GhostPairing : les comptes sont piratés sans mot de passe

Un nouveau type d’arnaque circule actuellement sur WhatsApp et il change un peu les règles du jeu. Plutôt que de voler un mot de passe ou d’exploiter une grosse faille technique, cette méthode mise sur l’ingénierie sociale, c’est-à-dire la confiance des utilisateurs. Elle s’appelle GhostPairing et elle exploite une fonctionnalité légitime de l’application pour se glisser dans un compte sans alerter la victime. Dans les paragraphes qui suivent, on démêle tout cela avec des explications concrètes et des conseils utiles.

Comment fonctionne exactement cette arnaque ?

L’astuce derrière GhostPairing repose sur la manière dont WhatsApp permet de lier un appareil (téléphone, navigateur web, etc.) à un compte. Normalement, quand on connecte WhatsApp Web, l’application vous demande de scanner un QR code depuis votre téléphone pour établir le lien sécurisé. C’est une mesure de sécurité classique.

Ce qui est subtil avec cette nouvelle technique, c’est que les pirates arrivent à contourner cette étape légitime grâce à un lien piégé. C’’est généralement ainsi que fonctionne la plupart des escroqueries en ligne en ce moment, d’ailleurs. Le scénario commence généralement par un message qui semble provenir d’un ami ou d’un membre de la famille. Ça donne l’impression d’un envoi banal, parfois accompagné d’une phrase anodine et d’un lien à ouvrir.

Ce que fait réellement le lien

Quand la victime clique sur ce lien, elle est redirigée vers une fausse page qui ressemble à s’y méprendre à un site d’authentification — souvent une imitation d’une interface de Facebook ou d’une plateforme associée. L’objectif : faire croire à l’utilisateur qu’il doit “vérifier son identité” pour afficher une image ou un contenu quelconque.

Au moment où la victime s’exécute, elle autorise en réalité l’appairage d’un nouvel appareil WhatsApp contrôlé par le pirate. Pas besoin de voler de mot de passe, pas besoin de casser le chiffrement ou d’intervenir sur le système. C’est la victime elle-même qui donne l’accès, sans s’en rendre compte.

Une fois l’appareil du cybercriminel connecté, ce dernier a un accès complet aux messages, photos, vidéos et contacts, comme s’il était la personne ciblée. Dans la foulée, il peut envoyer des messages depuis ce compte pour piéger d’autres contacts, créant un effet domino.

Pourquoi cette méthode est si préoccupante ?

Ce qui rend GhostPairing inquiétant, ce n’est pas la technique en elle-même — après tout, elle exploite un mécanisme permis par WhatsApp — mais plutôt la façon dont elle abuse de la confiance humaine. Contrairement aux arnaques classiques basées sur le vol direct de mots de passe ou le piratage technique, celle-ci s’appuie sur un leurre convaincant.

On reçoit le message d’un contact connu, ce qui réduit immédiatement la vigilance. On clique parce qu’on suppose que ce message est légitime. Et en quelques instants, l’accès au compte est donné sans force brute, sans intrusion directe sur les serveurs de WhatsApp.

Une fois l’accès obtenu, le pirate peut :

• Lire les conversations privées en temps réel
• Télécharger des photos, vidéos, documents stockés dans les chats
• Envoyer des messages à la place de la victime, y compris des liens malveillants ou des demandes d’argent
• Et même compromettre davantage d’utilisateurs via la liste de contacts

Certains rapports de sécurité indiquent que cette technique a même été remarquée par des agences informatiques nationales et des chercheurs, car elle permet de contourner des protections classiques sans déclencher d’alertes évidentes.

Comment reconnaître une tentative de GhostPairing ?

Il n’y a pas de méthode parfaite, mais certains comportements méritent vraiment d’être notés :

• Un message d’un contact que l’on connaît, mais avec un lien suspect ou une phrase qui n’a pas de sens dans le contexte
• Une invitation à “vérifier votre identité” ou à fournir un code quelque part qui ne vient pas directement de l’application officielle
• Une requête qui ouvre une page web semblant authentique mais qui n’est pas l’application WhatsApp elle-même

Ce sont des signaux d’alerte qui doivent susciter la prudence immédiate. En cas de doute, mieux vaut contacter la personne par un autre moyen avant de cliquer ou de fournir des informations sensibles. Cette règle simple aide souvent à éviter de tomber dans le piège.

Les bonnes pratiques pour limiter les dégâts

Il existe plusieurs mesures concrètes que l’on peut mettre en place pour renforcer sa sécurité sur WhatsApp, sans avoir besoin d’être un expert.

Paramètres de sécurité à vérifier

• Activer la vérification en deux étapes : c’est une barrière supplémentaire en plus du code SMS classique, ce qui rend une prise de contrôle beaucoup plus difficile.
• Vérifier régulièrement les appareils connectés : dans les paramètres WhatsApp, il est possible de voir les sessions actives (liens avec WhatsApp Web ou d’autres interfaces). Désactivez celles qui ne sont pas reconnues immédiatement.
• Ne jamais entrer de codes d’appairage sur un site web lorsqu’on ne l’a pas demandé explicitement via l’application officielle.

Bien sûr, ces gestes ne vous immunisent pas totalement, mais ils compliquent beaucoup la tâche à quelqu’un qui voudrait prendre le contrôle de votre compte à votre insu.

Ce qu’il faut faire après avoir été ciblé

Si l’on se rend compte qu’un appareil suspect est lié à votre compte WhatsApp, il y a des étapes à suivre pour reprendre le contrôle rapidement :

• Ouvrir WhatsApp, aller dans les Paramètres → Appareils connectés et déconnecter immédiatement tout appareil inconnu
• Activer la vérification en deux étapes si ce n’est pas déjà fait
• Changer les paramètres de sécurité et notifier vos contacts que votre compte a pu être compromis
• Surveiller les activités inhabituelles associées à votre numéro, comme des demandes d’argent ou des messages étranges envoyés à vos proches

Ces gestes sont simples, mais ils réduisent considérablement le potentiel d’usage abusif de votre compte après une compromission.

Autres types de menaces sur WhatsApp à garder en tête

Même si GhostPairing est la menace du moment, WhatsApp est visé par différentes méthodes d’arnaques depuis des années. Il existe des techniques traditionnelles comme les liens de phishing qui imitent les pages d’authentification, ou encore des malwares transmis via des fichiers malveillants envoyés par message.

Souvent, ces attaques tentent d’exploiter des failles humaines plutôt que des vulnérabilités logicielles directes : le message joue sur une forme de curiosité, de responsabilité ou d’urgence. Dans un monde où on reçoit souvent des messages à toute heure, rester vigilant face à ce type de sollicitation est essentiel.

Rappels pratiques pour une meilleure hygiène numérique

Voici deux repères simples à garder en tête :

• WhatsApp enverra toujours une notification fiable lorsqu’un nouvel appareil essaie de se connecter à votre compte. Si vous n’avez rien demandé, considérez cela comme un signal d’alerte.
• Ne jamais partager de codes de vérification ou d’appairage reçus par SMS avec quelqu’un d’autre, même si le message semble provenir de l’équipe de support.

Ces petits réflexes prennent quelques secondes, mais ils protègent efficacement contre une large gamme d’attaques.

La menace que représente GhostPairing ne vient pas d’un exploit technique sophistiqué, mais de notre façon d’interagir avec nos messages et nos contacts. Alors certes, ce n’est pas une des arnaques les plus populaires sur internet, mais c’est justement la raison pour laquelle elle a fonctionné. On est moins méfiant. Pourtant, une vigilance simple, associée à quelques paramètres de sécurité bien activés, réduit nettement le risque que quelqu’un prenne le contrôle de votre compte sans que vous le sachiez. Restez attentif aux liens reçus, faites un tour régulier dans les paramètres de WhatsApp pour vérifier les appareils connectés et rappelez-le à vos proches : un petit geste de prudence aujourd’hui vaut mieux qu’une mauvaise surprise demain.