Les numéros de téléphone sont au cœur de la simplicité et du succès de WhatsApp : il suffit d’entrer un numéro pour savoir si un contact utilise la messagerie. Mais ce principe peut aussi être détourné pour collecter les numéros de tous les utilisateurs, soit 3,5 milliards de personnes.
C’est ce qu’ont découvert des chercheurs en sécurité autrichiens, qui détaillent dans un article les failles leur ayant permis d’automatiser cette extraction. Avec 3,5 milliards de numéros, et parfois les photos de profil associées, « ce serait la plus grande fuite de données de l’histoire », affirment-ils. Le conditionnel n’est pas là par hasard : s’ils ont démontré la possibilité de siphonner ces informations, ils ont ensuite supprimé leur base avant d’alerter Meta.
Le propriétaire de WhatsApp a corrigé la faille avant qu’elle ne puisse être exploitée par des malandrins et a récompensé financièrement les chercheurs. Néanmoins, ceux-ci estiment que Meta n’avait pas mis en place des protections suffisantes. Malgré un signalement déjà formulé en 2017, l’entreprise n’avait toujours pas limité la vitesse ni le volume de requêtes permettant de rechercher des contacts. « Si nous avons pu récupérer cela très facilement, d’autres auraient pu faire de même », a expliqué Max Günther à Wired.
Côté WhatsApp, la réponse se veut rassurante. « Nous travaillions déjà sur des systèmes anti-scraping avancés, et cette étude a été essentielle pour tester leur robustesse et confirmer leur efficacité immédiate. Nous n’avons trouvé aucune preuve d’abus de cette faille », a réagi Nitin Gupta, vice-président de l’ingénierie.
Si la découverte n’a finalement pas eu de conséquences pour les utilisateurs, elle rappelle l’échelle colossale de WhatsApp — et l’importance du chiffrement de bout en bout pour les messages, qui sont ainsi mieux protégés. Par ailleurs, WhatsApp développe depuis plusieurs mois un système de pseudos destiné à masquer son numéro de téléphone. Aucune date de déploiement n’a encore été annoncée.
WhatsApp prépare l'utilisation des pseudos pour masquer le numéro de téléphone
