Chercheurs de l'Université de Vienne révélé l'existence d'une faille critique au cœur de WhatsApp, qui a exposé les numéros de téléphone de 3,5 milliards d'utilisateurs dans le monde. Si Meta affirme avoir corrigé la vulnérabilité en octobre dernier, cette affaire met en lumière un défaut architectural majeur : l'utilisation du numéro de téléphone comme simple identifiant public.
Un siphon de données avec 3,5 milliards de numéros
L'exploitation de cette faille est déconcertante de par sa simplicité technique. Comme indiqué FilaireEn utilisant la fonctionnalité de base pour vérifier si un numéro est lié à un compte WhatsApp, les chercheurs ont pu automatiser des requêtes massives sans rencontrer de résistance.
Le rythme de collecte est impressionnant : jusqu'à 100 millions de numéros testés par heure. En plus de confirmer l'existence du compte, cette méthode a permis de récupérer la photo de profil pour 57% des utilisateurs, ainsi que leur description personnalisée.
Les chiffres sont géographiquement vertigineux. L'Inde (749 millions de numéros de téléphone) et l'Indonésie (235 millions de numéros de téléphone) sont les plus touchées, mais la France n'est pas épargnée avec 54 millions de numéros récupérables. Les chercheurs n'hésitent pas à nuancer le risque encouru : il aurait pu devenir « la plus grande fuite de données de l’histoire ».
Un abandon qui dure depuis 2017
La réaction de Meta, qui a renforcé les limites de vérification en octobre 2024 après avoir été alertée en avril, masque une réalité plus inquiétante. Cette vulnérabilité n'est pas nouvelle. Dès 2017, le chercheur Loran Kloeze avait signalé ce problème.
À l’époque, la société mère de WhatsApp avait minimisé l’alerte, rappelant simplement aux utilisateurs l’existence de paramètres de confidentialité. Cette inaction a laissé la porte ouverte au siphonnage des données pendant sept ans.
D’un autre côté, l’étude soulève une préoccupation encore plus sérieuse concernant la sécurité commerciale. Des anomalies ont été détectées, notamment des clés de chiffrement identiques partagées entre différents comptes. Selon les experts, cela vient de l’utilisation d’applications WhatsApp non officielles. Ceux-ci ajoutent des fonctionnalités par rapport à l’application officielle.
La présence de 2,3 millions de numéros chinois dans les bases de données, alors que l'application est interdite en Chine, confirme l'utilisation massive de ces clients tiers, facilitant potentiellement le décryptage des conversations privées.
Face à ces risques systémiques inhérents à l'utilisation du numéro de téléphone comme identifiant, Meta tente désormais d'accélérer le déploiement de l'identification par pseudonyme. Il est actuellement en test.
