Notre petite revue, gratuite et indĂ©pendante, fait du bruit grĂące Ă  vous ! Soutenez-nous, car mĂȘme les petites Ă©tincelles peuvent allumer de grandes idĂ©es🚀 Soutenir!
Accueil
Actualité
Cybersecurité

WhatsApp : une faille vieille de huit ans permettait d’aspirer 3,5 milliards de numĂ©ros et photos de profil

La RĂ©daction


 Une Ă©quipe de trois chercheurs de l’universitĂ© de Vienne vient de mettre en lumiĂšre l’ampleur vertigineuse d’une vulnĂ©rabilitĂ©… dont on savait pourtant l’existence depuis 2017. En exploitant le systĂšme de contact discovery de WhatsApp — la fonctionnalitĂ© qui compare les contacts de votre tĂ©lĂ©phone avec ceux inscrits sur la plateforme — ils ont rĂ©ussi Ă  dresser une base colossale de 3,5 milliards de numĂ©ros actifs.


Encore plus inquiĂ©tant : pour 57 % d’entre eux, les photos de profil Ă©taient accessibles publiquement. Et pour 29 %, le texte de prĂ©sentation l’Ă©tait Ă©galement. Une vĂ©ritable mine d’or pour les campagnes de phishing, d’usurpation d’identitĂ© ou d’ingĂ©nierie sociale.

Un procĂ©dĂ© d’une simplicitĂ© dĂ©concertante


Pour parvenir Ă  ce rĂ©sultat, les chercheurs n’ont pas eu besoin de techniques sophistiquĂ©es ni d’accĂšs privilĂ©giĂ©. Il leur suffisait… de tester mĂ©thodiquement tous les numĂ©ros possibles via la version web de WhatsApp.

Jusqu’en octobre 2023, l’application web n’imposait aucune vĂ©ritable limite de dĂ©bit. RĂ©sultat :
  • 100 millions de numĂ©ros testĂ©s par heure,
  • et en 30 minutes, prĂšs de 30 millions de numĂ©ros amĂ©ricains dĂ©jĂ  vĂ©rifiĂ©s.

« Nous Ă©tions assez surpris. Alors nous avons continuĂ©. » explique Gabriel Gegenhuber, l’un des membres de l’Ă©quipe. Et la collecte massive s’est poursuivie jusqu’Ă  atteindre ces 3,5 milliards de comptes — un chiffre quasi Ă©quivalent au nombre total d’utilisateurs de WhatsApp.

Une faille connue depuis 2017… mais ignorĂ©e


Cette vulnĂ©rabilitĂ© n’est pas une dĂ©couverte. En 2017, le chercheur nĂ©erlandais Loran Kloeze avait dĂ©jĂ  signalĂ© exactement le mĂȘme problĂšme Ă  Meta dans le cadre du programme de bug bounty.
Mais Ă  sa grande surprise, aucune rĂ©compense : WhatsApp avait alors estimĂ© que tout fonctionnait « comme prĂ©vu ».

L’argument de Meta ?
Chacun peut choisir de masquer son profil dans les paramÚtres de confidentialité.

Un raisonnement qui, sur le papier, tient debout… mais qui ignore la rĂ©alitĂ© des usages.
Par exemple, en Inde — le plus grand marchĂ© de WhatsApp avec prĂšs de 750 millions de comptes — 62 % des utilisateurs affichent publiquement leur photo de profil. Le rĂ©glage par dĂ©faut encourage en effet une exposition non maĂźtrisĂ©e : beaucoup d’utilisateurs ignorent que leurs donnĂ©es sont visibles par n’importe quel inconnu possĂ©dant leur numĂ©ro.

Des risques sociaux sous-estimés


Les consĂ©quences d’une telle collecte massive sont loin d’ĂȘtre anecdotiques :
  • Profilage automatisĂ© (Ăąge, genre, origine).
  • Usurpation d’identitĂ© en rĂ©utilisant photo + nom.
  • Scams personnalisĂ©s (“Bonjour maman, j’ai changĂ© de numĂ©ro…”).
  • Cartographier les connexions sociales d’une rĂ©gion ou d’une population.

Dans un monde oĂč le numĂ©ro de tĂ©lĂ©phone est devenu un identifiant universel (banques, rĂ©seaux sociaux, comptes cloud…), l’exposition de milliards de numĂ©ros est un risque majeur.

Meta rĂ©agit… tardivement


Ce n’est qu’en octobre 2023 — soit six ans aprĂšs le premier signalement — que Meta a ajoutĂ© une vĂ©ritable limitation de dĂ©bit. Mais le mal Ă©tait dĂ©jĂ  fait.
Et surtout, aucun mĂ©canisme n’empĂȘche rĂ©ellement un acteur dĂ©terminĂ© de continuer Ă  extraire des donnĂ©es, lentement mais sĂ»rement.

Selon les chercheurs, le plus inquiĂ©tant n’est pas la faille en elle-mĂȘme, mais sa banalitĂ© :

“Il est trop simple pour un acteur malveillant de collecter Ă  grande Ă©chelle les profils WhatsApp de populations entiĂšres.”

À qui appartient votre identitĂ© numĂ©rique ?


Cette affaire rappelle une vérité fondamentale :
sur Internet, les paramÚtres par défaut dictent le niveau de sécurité réel, bien plus que les discours officiels.

WhatsApp laisse Ă  l’utilisateur la responsabilitĂ© de se protĂ©ger… tout en configurant l’application pour maximiser l’exposition.
Or dans de nombreux pays, oĂč WhatsApp sert d’identitĂ© sociale ou professionnelle, masquer sa photo peut mĂȘme ĂȘtre perçu comme suspect.

En attendant une refonte profonde du modĂšle de contact discovery, la prudence reste le seul rempart.
La question n’est plus : “WhatsApp protĂšge-t-il mes donnĂ©es ?”
Mais plutĂŽt : “De combien de donnĂ©es suis-je prĂȘt Ă  me passer pour protĂ©ger mon identitĂ© ?”

Getting Info...

Enregistrer un commentaire

Consentement Cookie
Nous utilisons des cookies đŸȘ sur ce site pour analyser le trafic, mĂ©moriser vos prĂ©fĂ©rences et optimiser votre expĂ©rience.
More Details
Oops!
It seems there is something wrong with your internet connection. Please connect to the internet and start browsing again.
AdBlock Detected!
Salut super-hĂ©ros de la navigation ! 🚀 On a dĂ©tectĂ© ton super-pouvoir anti-pubs, mais notre site a besoin de tes super-pouvoirs pour briller. 🌟 Peux-tu le mettre sur la liste blanche de ton plugin ? Ensemble, on sauve l'internet ! đŸŒđŸ’„ Merci, hĂ©ros ! 🙌 #TeamAwesome
Site is Blocked
Oops ! DĂ©solĂ© ! Ce site n'est pas disponible dans votre pays. 🌍😔
-->