WhatsApp a un gros souci de sécurité avec Touch ID et Face ID. Une mise à jour récente de l’application de messagerie instantanée permet de protéger l’accès à l’app avec les outils biométriques des appareils iOS. Sauf qu’une petite manipulation permet de contourner très facilement cette sécurité.

Le malandrin doit passer par la feuille de partage d’iOS, via Photos par exemple. Dans le panneau de partage, il suffit de sélectionner l’option WhatsApp pour atterrir directement dans le menu de sélection de la discussion de l’application, sans avoir besoin de s’identifier. En quittant Photos (ou l’app à l’origine du partage), il est ensuite possible d’accéder à WhatsApp, là aussi sans authentification préalable.

Cette bidouille toute simple ne fonctionne qu’à deux conditions : d’une part, le malfrat doit avoir l’appareil déverrouillé de sa victime en main. D’autre part, l’activation Face ID/Touch ID dans WhatsApp ne doit pas être configurée sur immédiatement (l’app propose le déverrouillage biométrique après 1 ou 15 minutes, ou encore au bout d’une heure).

Facebook est au courant de la brèche, apparue sur Reddit. Pour s’en prémunir en attendant la mise à jour de sécurité promise par le réseau social, il faut configurer l’identification biométrique sur immédiatement : l’app demandera alors systématiquement une authentification à chaque ouverture.