Dans un article de blog publié le 15 décembre 2025, les chercheurs en cybersécurité de Gen ont décortiqué les différentes étapes d’une cyberattaque menant au piratage d’un compte WhatsApp. Baptisé « Ghost Pairing », ce piège repose notamment sur l’abus d’un numéro de couplage permettant l’appairage du compte sur différents appareils.

Vous êtes-vous déjà demandé ce qui se serait passé si vous n’aviez pas repéré de loin cette tentative de phishing relativement grossière ?

Il est parfois difficile de visualiser concrètement comment une cyberattaque provoque ses dégâts. Les intrusions de longue haleine ou l’exploitation de vulnérabilités sur des périphériques oubliés impressionnent par leur sophistication, mais n’ont pas toujours le même impact sur nos comportements que la campagne mise en lumière à la mi-décembre 2025 par les équipes de Gen.

Ici, pas de malware à infiltrer, pas de mots de passe à déchiffrer : tout repose sur de l’ingénierie sociale, un lien de phishing et le détournement d’une fonctionnalité parfaitement légitime de WhatsApp.

Le piège se referme en cinq étapes, et pour vous ôter toute curiosité de la tête si vous avez eu la présence d’esprit de n’en suivre aucune, les voici :

Le type de message qui peut tout enclencher // Source : Gendigital
Le type de message qui peut tout enclencher. // Source : Gendigital

Étape 1 : le message piégé

Comme souvent dans ce type d’attaque à grande échelle, les cybercriminels misent sur la curiosité parfois un peu naïve des utilisateurs de messagerie instantanée.

bitdefender-logo
Bitdefender new Box
Votre vie privée doit rester privée.
Face aux cyberattaques, déjouez les pronostics. Les nouvelles arnaques sont plus complexes et plus sophistiquées, alors ne devenez pas une victime de plus, il existe des solutions performantes et accessibles.
Je protège ma vie privée simplement

Tout débute par l’envoi d’un message de phishing envoyé depuis un compte WhatsApp déjà compromis, généralement très court et anodin, par exemple « J’ai trouvé cette photo de toi… » accompagné d’un lien.

Le fait que ce message provienne d’un contact légitime, membre de la famille, ami ou collègue, réduit fortement la méfiance de la victime et augmente la probabilité de clic.

Si la fréquence de ces scams a habitué une partie des utilisateurs à ignorer ce type de messages, ces pièges parviennent malheureusement encore aujourd’hui à entraîner certaines victimes vers l’étape numéro 2.

Étape 2 : la fenêtre qui imite Facebook

En cliquant sur le lien, les victimes se retrouvent ainsi redirigées vers une page web minimaliste qui imite l’interface de Facebook, avec logo, couleurs et un bouton pour continuer ou vérifier l’identité.

Cette fausse « visionneuse » n’a en réalité aucun lien avec Facebook (comme l’indique son URL), elle sert de façade de confiance pour mener vers les étapes suivantes et crée un sentiment d’urgence chez le destinataire, qui pense alors n’être qu’à une seule étape de voir s’afficher une photo de lui dont il ignorait l’existence.

Étape 3 : le numéro de téléphone comme porte d’entrée

Pour « continuer » et ainsi voir la photo, la page Facebook factice demande à la victime de saisir son numéro de téléphone WhatsApp, ce qui est présenté comme une étape de validation classique.

Une fois saisi, le numéro est transmis en arrière-plan à l’assaillant qui peut l’insérer dans la véritable fonctionnalité de liaison d’appareil de WhatsApp, qui génère instantanément un code de couplage pour s’assurer qu’il s’agit d’une procédure effectuée par le propriétaire légitime du compte.

Code d'authentification reçu dans le cadre de la campagne GhostPairing // Source : Gendigital
Code d’authentification reçu dans le cadre de la campagne GhostPairing // Source : Gendigital

Étape 4 : le numéro de téléphone comme porte d’entrée

Entre les mains de pirates, le code d’authentification généré par WhatsApp est par la suite affiché à l’écran de la victime accompagné d’instructions rassurantes comme : « Entrez ce code dans WhatsApp pour confirmer et voir la photo. »

La victime revient dans son application WhatsApp, voit une demande de couplage et, pensant finaliser la vérification de sécurité, saisit ce code directement dans l’interface de l’application, validant en réalité l’ajout d’un nouvel appareil lié.

Étape 5 : le compte est compromis et devient à son tour un vecteur d’attaque

Une fois le code validé, l’appareil de l’attaquant est officiellement associé au compte WhatsApp de la victime, devenant un véritable « appareil fantôme ».

Cet accès lui permet de lire les conversations, recevoir les nouveaux messages et envoyer des contenus au nom de la victime, notamment de nouveaux messages de phishing vers ses contacts et groupes.

Le compte compromis devient ainsi un relais d’attaque, et le pirate n’a plus qu’à revenir à l’étape 1 pour inonder de messages l’annuaire de contact de sa dernière victime.

une comparateur meilleur gestionnaire mdp numerama

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+
Toute l'actu tech en un clien d'oeil

Toute l'actu tech en un clin d'œil

Ajoutez Numerama à votre écran d'accueil et restez connectés au futur !

Tous nos articles sont aussi sur notre profil Google : suivez-nous pour ne rien manquer !