Arnaques

« J'ai trouvé ta photo » : le message WhatsApp qui permet de voler votre compte en 30 secondes

Par | Publié le 23/12/2025 à 17:08

Une nouvelle technique de piratage baptisée « GhostPairing » permet aux escrocs de prendre le contrôle total de votre compte WhatsApp sans avoir besoin de votre mot de passe. Révélée cette semaine par les experts en cybersécurité, elle se propage via les messages de vos propres contacts. Voici comment vous protéger.

Femme senior utilisant la messagerie de Whatsapp © Alex Photo Stock/Shutterstock
Femme senior utilisant la messagerie de Whatsapp © Alex Photo Stock/Shutterstock

Un message d'un proche qui cache un piège redoutable

L'arnaque débute par un message anodin envoyé par quelqu'un que vous connaissez. Un ami, un membre de votre famille ou un ancien collègue vous écrit : « Salut, j'ai trouvé ta photo » suivi d'un lien. La curiosité est naturelle : qui ne voudrait pas savoir de quelle photo il s'agit ?

Le problème, c'est que votre proche ne vous a jamais envoyé ce message. Son compte WhatsApp a déjà été piraté, et ce sont les escrocs qui utilisent son identité pour vous contacter. Cette technique, baptisée « GhostPairing » par les chercheurs de Gen Digital (maison-mère de Norton et Avast), a été révélée ce lundi 22 décembre 2025.

En cliquant sur le lien, vous arrivez sur une page qui ressemble parfaitement à Facebook. Mêmes couleurs, même logo, même mise en page. Le site vous demande de « vérifier votre identité » avant de pouvoir voir la fameuse photo. C'est là que le piège se referme.

Comment les pirates prennent le contrôle de votre compte

La technique est particulièrement vicieuse car elle utilise une fonction légitime de WhatsApp. Lorsque vous suivez les instructions de la fausse page Facebook, vous recevez un code à 8 chiffres. Ce code est en réalité un véritable code d'appairage WhatsApp, celui qui sert normalement à connecter votre compte sur un ordinateur ou une tablette.

En saisissant ce code, vous autorisez sans le savoir l'appareil des pirates à se connecter à votre compte. Dès cet instant, ils ont accès à toutes vos conversations, vos photos, vos contacts et vos messages vocaux. Le tout sans avoir eu besoin de votre mot de passe ni d'installer le moindre logiciel malveillant sur votre téléphone.

Ce qui rend cette arnaque particulièrement dangereuse, c'est qu'elle est invisible. Votre téléphone continue de fonctionner normalement. Vous ne recevez aucune alerte. Pendant ce temps, les escrocs peuvent lire vos échanges en temps réel et même envoyer des messages à vos contacts en se faisant passer pour vous.

Une propagation fulgurante grâce à la confiance entre proches

Les seniors utilisant WhatsApp pour communiquer avec leur famille sont des cibles privilégiées. L'application compte plus de 24 millions d'utilisateurs quotidiens en France, dont une proportion importante de plus de 50 ans qui l'utilisent principalement pour rester en contact avec leurs enfants et petits-enfants.

Une fois qu'ils ont pris le contrôle de votre compte, les pirates envoient automatiquement le même message piégé à tous vos contacts. Chaque nouveau compte infecté permet d'en contaminer d'autres. La confiance que vos proches vous accordent devient le carburant de l'arnaque. Si votre petit-fils reçoit un message de « Mamie » lui demandant de cliquer sur un lien, il y a de fortes chances qu'il le fasse sans se méfier.

Les experts de Gen Digital soulignent que cette attaque ne repose sur aucune faille technique. Les pirates n'ont pas besoin de contourner les systèmes de sécurité : ils convainquent simplement les utilisateurs de leur ouvrir la porte eux-mêmes.

Les 3 gestes essentiels pour vous protéger immédiatement

Premier geste : vérifiez dès maintenant les appareils connectés à votre compte. Ouvrez WhatsApp, appuyez sur les trois points en haut à droite (ou sur Paramètres sur iPhone), puis sélectionnez « Appareils liés ». Si vous voyez un appareil que vous ne reconnaissez pas, appuyez dessus et choisissez « Déconnexion ». Cela coupera immédiatement l'accès aux pirates.

Deuxième geste : ne cliquez jamais sur un lien vous demandant de « vérifier » quelque chose. WhatsApp et Facebook ne vous demanderont jamais de confirmer votre identité en passant d'une application à l'autre. Si un proche vous envoie un message inhabituel avec un lien, appelez-le directement par téléphone pour vérifier que c'est bien lui.

Troisième geste : activez la vérification en deux étapes. Dans WhatsApp, allez dans Paramètres, puis Compte, puis Vérification en deux étapes, et activez cette protection. Vous devrez choisir un code PIN à 6 chiffres. Cette mesure ne bloquera pas totalement l'arnaque GhostPairing, mais elle empêchera les pirates de modifier vos paramètres de compte.

Si vous pensez avoir été victime de cette arnaque, prévenez immédiatement vos contacts par un autre moyen (appel téléphonique, SMS) pour qu'ils ne cliquent pas sur les messages envoyés depuis votre compte compromis.

Sources
- Gen Digital (Norton/Avast), GhostPairing Attacks: from phone number to full access in WhatsApp, décembre 2025
- Malwarebytes, The ghosts of WhatsApp: How GhostPairing hijacks accounts, 18 décembre 2025



La Newsletter de Senioractu.com
Chaque vendredi, l'essentiel de l'actualité des seniors dans votre boite mail !
SENIORACTU.COM
© 2003-2026 - Tous droits réservés
Facebook
X