Une faille de sécurité massive expose 3,5 milliards de numéros WhatsApp
Une équipe de chercheurs autrichiens a découvert une faille critique dans WhatsApp, qui aurait permis de collecter près de 3,5 milliards de numéros de téléphone. Selon une étude relayée par Wired et rapportée par Le Parisien, cette faille a aussi permis d’accéder à des photos de profil, des horodatages, et d’autres données personnelles, telles que des informations liées aux SMS.
Les chercheurs ont déclaré avoir mené cette investigation de manière éthique. Toutefois, ils avertissent que si ces données avaient été publiées, cela aurait représenté la plus grande fuite de données jamais enregistrée.
Comment cette faille a-t-elle été exploitée ?
La méthode utilisée est relativement simple mais effrayante. Elle repose sur la fonction de recherche de contacts de WhatsApp Web. Les chercheurs ont testé des milliards de numéros de téléphone, profitant d’un défaut majeur : Meta n’imposait aucune limite au nombre de requêtes.
Grâce à cette vulnérabilité, il était possible de vérifier instantanément si un numéro disposait d’un compte WhatsApp et d’accéder à diverses informations, telles que :
- les photos de profil,
- les horodatages,
- les données liées aux SMS,
- les clés publiques de chiffrement.
Ce volume de données est colossal et facilement exploitable par des cybercriminels en cas de fuite.
Une fuite d’historique d’après les experts
Les chercheurs estiment que si cette extraction de données avait été utilisée à des fins malveillantes, elle aurait pu entraîner de graves risques : attaques de phishing, usurpation d’identité, ciblage marketing agressif ou attaques contre des comptes WhatsApp. Cependant, ils précisent que ces données ne seront pas publiées. Meta a été immédiatement informé de la faille.
Meta relativise l’impact
Selon Nitin Gupta, vice-président de l’ingénierie chez WhatsApp, les informations collectées sont considérées comme publiques et servent principalement à identifier les comptes. Meta travaille actuellement sur de nouveaux systèmes pour lutter contre le scraping et affirme n’avoir trouvé « aucune preuve d’exploitation » par des acteurs malveillants.
Vous êtes probablement concerné par cette faille
Avec 3,5 milliards de numéros collectés, il est fort probable que votre propre numéro figure dans cette base de données. Pour protéger votre compte, voici quelques recommandations :
- Activer la double authentification (Réglages > Compte > Vérification en deux étapes).
- Restreindre la visibilité de votre photo de profil.
- Limiter l’accès à vos informations personnelles.
- Ne jamais partager votre code de sécurité reçu par SMS, même si un contact le demande.
Une vulnérabilité qui rappelle la fragilité des plateformes
Malgré la réputation de WhatsApp pour la sécurité de son chiffrement, cette affaire met en lumière une faiblesse dans la protection des métadonnées. Elle souligne l’importance croissante de la cybersécurité et la nécessité de renforcer la réglementation entourant les services numériques massivement utilisés. Cette enquête pourrait pousser Meta à revoir entièrement ses dispositifs de protection contre le scraping et la collecte de données.
About The Author
