Matrix-WhatsApp bridge - Possible hack?

MaximeB · July 25, 2025, 2:19pm

What type of hardware are you using: VPS bought online
What YunoHost version are you running: YunoHost 12.0.17 (stable)
What app is this about: Matrix-WhatsApp bridge

Describe your issue

Bonjour la commu

Pour tester le système de Bridge Whatsaap-Matrix et permettre à un groupe Matrix d’interagir avec un groupe Wathsaap. #vive l’interopérabilité pour quitter un jour la Big-tech

1.J’ai acheté une carte sim avec un nouveau n° de téléphone pour créer un compte whatsaap qui servira de client relais.
(Carte sim mis dans une tablette Wifi+sim avec E/E OS )
2.J’ai crée mon serveur synapse.
3.J’ai installé Elément comme client matrix
4.J’ai crée une compte matrix que j’ai mis admin de mautrix-whatsapp
5.J’ai relié le compte admin matrix avec le compte Whatsaap (nouvelle carte sim / un seul numéro.
6.Le13/07/2025 à 13:12:06 afin de crée un groupe Whatsaap Test pour le projet .
J’ajoute un contact dans la tablette ( un membre de ma famille qui utilise Whatsaap. )
J’ai crée un groupe whatsaap Test et et le relie au compte Synapse/Matrix sur Element
7. 3 contacts sont dans le Groupe relay sur Element . Le numéro de tél. pour le test ; le membre de la Famille et le Bot

Mon questionnement est que dans les log synapse-admin.
Le 22/07/2025 à 10:01:30
un numéro de téléphone de Turquie +905337426220 c’est ajouter dans le serveur avec l’identifiant @whatsapp_905350146166:synapse.monserveur.cloud
Ensuite pendant une minute et ± toutes les secondes un nouvel utilisateur a été créé avec des numéros de téléphone que je ne connais pas. 60 au total.

Comment est-ce possible vu que brige whatsaap a été fait avec une carte sim et un téléphone où il n’y avait qu’un seul contact ?
Est-ce une tentative de hack ?

Bien à vous,

Share relevant logs or error messages

J’ai un fichier csv mais je sais pas comment le mètre en forme ici.

nath5394 · July 28, 2025, 7:46pm

Bonjour,

Peux-tu aller voir dans l’administration de ton serveur Yunohost, dans l’app Whatsapp Bridge, dans Main Settings, les valeurs de :

Users bridged thanks to Relay Mode
Bridge Users
Bridge Administrators

Il y a peut-être des permissions trop larges ici.

MaximeB · July 29, 2025, 2:53pm

Bonjour,

Merci pour l’aide.

Oui, sûrement déjà une permission trop large :

Users bridged thanks to Relay Mode

* : All Matrix users

Peut-être que le problème vient de là : j’ai laissé tout le monde car c’était l’option par défaut.

Dans :

Bridge Users Seuls mes utilisateurs test de l’instance

Et pour :

Bridge Administrators :

Un utilisateur d’une autre instance que j’ai crée (serveur Yunohost sur un Raspberry Pi 4 avec juste Synapse/Element et un utilisateur).
User d’une autre instance car j’ai repsecter la note d’installation qui disait:

L'administrateur peut ne pas être un compte local Synapse. Les formats valables sont [@johndoe](https://github.com/johndoe):localsynapse.servername ou [@johndoe](https://github.com/johndoe):matrix.org

(ce que je ne comprends pas : sommes-nous donc obligés de créer deux serveurs synapse pour gérer un Bridge ?)

Pour revenir à ma crainte de Hack.

Comme j’ai bien compris en observant mon bridge Signal, les bot des bridges rapatrie les membres du groupe (signal ou whatsaap )en membres invités dans le serveur Matrix.

Reste que je ne comprends pas comment un numéro étranger a pu trouver le serveur bridge sans y être invité, car il n’était pas dans le groupe WhatsApp de test.
Et ce numéro n’avait pas de compte Matrix sur mon instance. Soit ma tablette E/Os est vérolée, soit c’est le smartphone du membre de ma famille…

A savoir que j’activais et désactivais la création de compte sur mon serveur synapse juste le temps de crée mes user de test.

D’avance merci

MaximeB · August 13, 2025, 9:09am

Bonjour à tous,Pour info,je viens de recevoir cette nouvelle.

Peu être cela venais de la , je lance mes mises à jours.

Bien à toutstes

gauthier67 · August 18, 2025, 9:41pm

est-ce que ton salon bridgé était public ? Est-ce que la création de compte était libre quand tu l’activais ? Tu ne demandais ni captcha ni email vérifié ?

Je te conseille de jeter un oeil à notre solution ARN Messager : Garder contact sur WhatsApp sans donner son téléphone à Facebook (Matrix 3/3) | Alsace Réseau Neutre, Hébergeur et FAI associatif
Si tu veux la mettre en place pour tes proches, n’hésites pas à demander de l’aide
documentation:sans-nuage:whatsappbridge [Alsace Réseau Neutre]
ARN / arn-messager · GitLab

system · September 2, 2025, 9:42pm

This topic was automatically closed 15 days after the last reply. New replies are no longer allowed.