Des chercheurs de l’université de Vienne ont révélé l’existence d’une faille critique au cœur de WhatsApp, qui a exposé les numéros de téléphone de 3,5 milliards d’utilisateurs dans le monde. Si Meta affirme avoir corrigé la vulnérabilité en octobre dernier, cette affaire met en lumière une faille architecturale majeure : l’utilisation du numéro de téléphone comme simple identifiant public.
Un siphonnage de données avec 3,5 milliards de numéros
L’exploitation de cette faille déroute par sa simplicité technique. Comme l’indique Wired, en utilisant la fonctionnalité basique permettant de vérifier si un numéro est lié à un compte WhatsApp, les chercheurs ont pu automatiser des requêtes massives sans rencontrer de résistance.
Le rythme de collecte est impressionnant : jusqu’à 100 millions de numéros testés par heure. Outre la confirmation de l’existence du compte, cette méthode permettait de récupérer la photo de profil pour 57 % des utilisateurs, ainsi que leur description personnalisée.
Les chiffres donnent le vertige géographiquement. L’Inde (749 millions numéros de téléphone) et l’Indonésie (235 millions numéros de téléphones) sont les plus touchés, mais la France n’est pas épargnée avec 54 millions de numéros récupérables. Les chercheurs n’hésitent pas à qualifier le risque encouru : cela aurait pu devenir « la plus grande fuite de données de l’histoire ».
Une négligence qui dure depuis 2017
La réaction de Meta, qui a renforcé les limites de vérification en octobre 2024 après avoir été alerté en avril, masque une réalité plus dérangeante. Cette vulnérabilité n’est pas nouvelle. Dès 2017, le chercheur Loran Kloeze avait signalé ce problème.
À l’époque, la maison mère de WhatsApp avait minimisé l’alerte, se contentant de rappeler aux utilisateurs l’existence des paramètres de confidentialité. Cette inaction a laissé la porte ouverte au siphonnage de données pendant sept ans.
D’autre part, l’étude soulève une inquiétude encore plus grave concernant la sécurité des échanges. Des anomalies ont été détectées, notamment des clés de chiffrement identiques partagées entre différents comptes. Selon les experts, cela proviendrait de l’utilisation d’applications WhatsApp non officielles. Celles-ci ajoutent des fonctionnalités par rapport à l’application officielle.
La présence de 2,3 millions de numéros chinois dans les bases de données, alors que l’application est interdite en Chine, confirme l’usage massif de ces clients tiers, facilitant potentiellement le déchiffrement des conversations privées.
Face à ces risques systémiques inhérents à l’utilisation du numéro de téléphone comme identifiant, Meta tente désormais d’accélérer le déploiement de l’identification par pseudo. C’est en cours de test.
