WhatsApp épinglé après l’exposition mondiale de 3,5 milliards de numéros
Une étude récente menée par des chercheurs de l’Université de Vienne et du laboratoire SBA Research en Autriche met en lumière une faille majeure dans WhatsApp, qui aurait exposé 3,5 milliards de numéros de téléphone dans le monde. Cette vulnérabilité, liée au mécanisme de découverte de contacts de la messagerie, existait depuis 2017 et permettait de cartographier la quasi-totalité des utilisateurs, ainsi que d’accéder à certaines données publiques de profil.
Les chercheurs ont exploité cette faille en interrogeant massivement les serveurs de WhatsApp, parvenant à vérifier plus de 100 millions de numéros par heure et confirmant l’existence de 3,5 milliards de comptes actifs à travers le monde. Si le contenu des messages restait protégé par le chiffrement, le numéro de téléphone, la photo de profil lorsqu’elle était publique, le texte “À propos” et certaines informations techniques comme les clés publiques étaient accessibles sans obstacle. Pour une plateforme comptant plus de trois milliards d’utilisateurs, il s’agit d’une extraction de données d’une ampleur inédite.
L’analyse des données montre que cette brèche dépasse le simple incident technique pour révéler un problème structurel. Dans plusieurs pays où WhatsApp est interdit, des millions d’utilisateurs restaient actifs. En Iran, par exemple, les comptes collectés représentaient près des deux tiers de la population. En Chine, plus de deux millions de comptes étaient toujours fonctionnels malgré l’interdiction. Dans ces contextes, l’exposition des numéros pouvait mettre certains utilisateurs en danger réel.
Les chercheurs soulignent également le risque lié aux comportements en ligne des utilisateurs. Environ 57 % publient une photo de profil visible par tous, ce qui a permis de collecter 77 millions d’images pour la seule zone +1 en Amérique du Nord. L’analyse de ces images via reconnaissance faciale montre qu’un visage identifiable apparaît dans deux cas sur trois. Certaines photos révèlent des plaques d’immatriculation, des lieux reconnaissables ou des environnements domestiques. Près d’un tiers des comptes comportent également un statut public, parfois lié à des opinions politiques, des informations personnelles ou des activités sensibles, constituant un terrain fertile pour le phishing, l’usurpation d’identité ou d’autres usages malveillants.
Cette faille était connue depuis 2017. Le système de WhatsApp n’imposait aucune limite au nombre de requêtes permettant de vérifier si un numéro était associé à un compte, facilitant ainsi des recherches massives. Les chercheurs affirment avoir alerté Meta à plusieurs reprises à partir de septembre 2024, sans réaction notable. Ce n’est que juste avant la publication de leur étude que l’entreprise a commencé à déployer des contre-mesures, notamment en limitant le rythme des requêtes.
Meta assure aujourd’hui que la vulnérabilité est corrigée et qu’aucune exploitation malveillante n’a été détectée. Les experts rappellent toutefois que le problème dépasse la technique. Il touche à la culture des grandes plateformes numériques et à leur capacité à anticiper et corriger les angles morts. Leur étude souligne la valeur stratégique des métadonnées : ces informations, sans révéler le contenu des conversations, permettent de dresser un portrait très précis des utilisateurs et des dynamiques à l’échelle nationale.
-
21:00
-
20:00
-
18:25
-
17:20
-
16:42
-
16:35
-
16:00
-
15:25
-
14:35
-
14:00
-
13:30
-
12:30
-
12:00
-
11:30
-
11:00
-
10:30
-
10:00
-
09:30
-
09:00
