WhatsApp : 3,5 milliards de numéros de téléphone exposés par une faille
Des chercheurs de l’Université de Vienne ont découvert une faille permettant d’aspirer 3,5 milliards de numéros de téléphone enregistrés sur WhatsApp. Meta a corrigé la vulnérabilité et remercié les chercheurs dans le cadre de son programme de primes aux bugs.
Des chercheurs de l’Université de Vienne ont mis à jour une faille permettant de collecter 3,5 milliards de numéros de téléphone inscrits sur WhatsApp.
En utilisant les API de découverte de contacts, qui permettent de trouver vos amis via leur numéro, ils ont pu interroger plus de 100 millions de comptes par heure. Meta a réparé cette vulnérabilité et remercié les chercheurs dans le cadre de son programme de récompenses pour bugs. Cependant, cette attaque révèle un problème structurel : votre numéro WhatsApp n’est jamais réellement privé.
La faille repose sur un mécanisme bien établi. Afin de faciliter la recherche de contacts, WhatsApp propose des API de découverte qui associent numéros de téléphone et comptes utilisateurs. En entrant un numéro, l’API indique si un compte WhatsApp existe et peut afficher la photo de profil ou le texte « À propos » si l’utilisateur a choisi de les rendre visibles. Ce système est essentiel pour faire fonctionner l’application, mais il ouvre également la voie à l’énumération massive : tester des millions de numéros pour cartographier la base d’utilisateurs.
Des protections existent pour prévenir ce type d’attaque, comme la limitation du nombre de requêtes ou la détection des comportements suspects, etc.
Cependant, les chercheurs autrichiens ont réussi à les contourner. Ils ont scanné plus de 100 millions de numéros par heure via l’infrastructure de WhatsApp, confirmant l’existence de 3,5 milliards de comptes actifs dans 245 pays. Cela constitue l’ensemble de la base d’utilisateurs mondiale.
Ce que révèle cette cartographie massive
Les chercheurs ne se sont pas contentés de rassembler des numéros. Ils ont analysé les données pour en tirer des informations statistiques, dressant ainsi un portrait inédit de l’utilisation mondiale de WhatsApp.
Première constatation : WhatsApp compte des millions d’utilisateurs actifs dans des pays où l’application est officiellement interdite, tels que la Chine, l’Iran et le Myanmar, des régions où les utilisateurs recourent à des VPN pour contourner la censure. La répartition par système d’exploitation confirme la prédominance d’Android : 81 % des utilisateurs sont sur le système de Google, comparé à 19 % sur iOS.
L’analyse des photos de profil révèle des différences culturelles significatives. Certains pays affichent massivement des photos personnelles, tandis que d’autres privilégient l’anonymat ou des images génériques. Les chercheurs ont également comparé leur base de données avec les 500 millions de numéros qui avaient fuités en 2021 ; environ la moitié d’entre eux sont toujours actifs quatre ans plus tard.
Enfin, l’analyse des métadonnées de compte (ancienneté, nombre d’appareils connectés) permet de tracer des profils d’usage : utilisateurs occasionnels, comptes professionnels multi-appareils, comptes abandonnés puis réactivés. Ces informations sont précieuses pour quiconque souhaiterait cibler des utilisateurs spécifiques.
Meta corrige, mais le problème de fond reste
Meta a remercié les chercheurs dans le cadre de son programme de récompenses pour bugs et a assuré avoir corrigé la vulnérabilité. L’entreprise indique qu’elle travaillait déjà sur des systèmes anti-scraping plus efficaces, et que cette recherche a permis d’en tester l’efficacité. Les chercheurs ont effacé les données collectées, et Meta affirme n’avoir observé aucune utilisation malveillante de la faille.
«Les messages des utilisateurs sont restés privés et sécurisés grâce au chiffrement de bout en bout par défaut de WhatsApp, et aucune donnée non publique n’était accessible aux chercheurs », précise l’entreprise. Ceci est exact : les conversations n’ont pas été compromises. Toutefois, l’accès aux numéros de téléphone, aux photos de profil et aux métadonnées de compte constitue un enjeu de confidentialité.
Le problème de fond ? Cette faille n’est pas nouvelle. C’est une vulnérabilité structurelle liée au fonctionnement intrinsèque de WhatsApp. Pour permettre la découverte de contacts, l’application doit être capable d’associer numéros et comptes. Ainsi, chaque fois qu’une API autorise cette association, elle peut être exploitée à grande échelle. Les protections existent, mais elles restent toujours contournables avec suffisamment de volonté et de moyens.
Meta peut renforcer ses défenses. Cependant, tant que WhatsApp s’appuiera sur les numéros de téléphone comme identifiant principal, ce type d’attaque restera théoriquement possible. D’autres applications de messagerie comme Signal ou Telegram sont confrontées au même dilemme. La solution ? Passer à des identifiants anonymes déconnectés du numéro de téléphone. Toutefois, cela compliquerait considérablement la découverte de contacts, une des raisons du succès de WhatsApp.
