WhatsApp vit l’un des pires épisodes de son histoire. Selon une étude publiée mardi par une équipe de chercheurs autrichiens, une faille de sécurité extrêmement simple à exploiter aurait permis de récupérer 3,5 milliards de numéros de téléphone, ainsi que des photos de profil, statuts, et même certaines informations de chiffrement. Une fuite qui, si elle avait été mise entre de mauvaises mains, aurait eu des conséquences considérables pour les usagers, soit la quasi totalité des détenteurs de smartphones dans le monde.
Une faille d’une simplicité déconcertante
L’enquête, relayée par Wired, met en lumière un problème qui paraît presque improbable pour une application appartenant à Meta, un géant du numérique habitué aux audits de sécurité. Les chercheurs ont tout simplement testé un par un des milliards de numéros via la fonction de recherche de contacts intégrée à WhatsApp Web.
Ils se sont vite retrouvés confrontés à l’absence totale de limitation, de captcha, ou encore de protection de volume. La plateforme acceptait autant de requêtes que nécessaire, permettant d’identifier quels numéros sont liés à un compte WhatsApp, puis d’accéder aux informations publiques associées à ces profils.
Résultat, ce sont plus de 3,5 milliards de numéros qui ont été collectés, appartenant à des utilisateurs du monde entier. Dans de nombreux cas, les chercheurs ont également pu extraire les photos de profil, horodatages, informations liées aux SMS ou encore les clés publiques liées au chiffrement, comme ils le décrivent sur GitHub.
Une fuite qui aurait pu faire des dégâts colossaux
Les chercheurs eux-mêmes le disent, si cette opération avait été menée par un groupe malveillant, elle aurait sans doute constitué la plus grande fuite de données de l’histoire.
Des données aussi banales qu’un numéro de téléphone peuvent servir à faire du phishing extrêmement ciblé mais aussi à des campagnes d’usurpation d’identité, du harcèlement ou encore des attaques visant les comptes liés (banque, e-mail, services administratifs).
Le fait que des photos de profil aient été récupérées ajoute un risque supplémentaire qui est celui d’associer un numéro à un visage, donc à une personne réelle. Contacté, WhatsApp affirme n’avoir trouvé aucune preuve d’exploitation malveillante de cette faille. Le vice-président de l’ingénierie, Nitin Gupta, décrit les informations récupérées comme des données publiques de base, tout en remerciant les chercheurs pour leur travail.
Le souci est que, bien qu’une donnée peut être publique par nature, elle n’est pas forcément destinée à être collectée par millions. Meta assure que des systèmes anti-scraping sont désormais actifs. Mais pour les utilisateurs, cette affaire rappelle surtout qu’aucun service, même parmi les plus sécurisés, n’est totalement imperméable.
🟣 Pour ne manquer aucune news sur le Journal du Geek, suivez-nous sur Google et sur notre canal WhatsApp. Et si vous nous adorez, on a une newsletter tous les matins.
