Une vulnérabilité de sécurité critique dans WhatsApp a exposé les numéros de téléphone et les informations de profil associées de plus de 3 milliards d’utilisateurs dans le monde, soulevant de graves problèmes de confidentialité pour l’application de messagerie la plus populaire au monde. La faille, découverte par des chercheurs de l’Université de Vienne et de SBA Research, permet à des acteurs malveillants de récupérer les données des utilisateurs à une échelle sans précédent.
Comment fonctionne la vulnérabilité
Le cœur du problème réside dans le mécanisme de découverte de contacts de WhatsApp. Lorsqu’un utilisateur autorise l’application à accéder à son carnet d’adresses, WhatsApp compare ces numéros à sa base de données centrale pour indiquer quels contacts se trouvent également sur la plateforme. Cependant, ce même processus peut être exploité pour énumérer systématiquement les numéros de téléphone, les photos de profil et les statuts « À propos » sans autorisation.
“Ce problème met en évidence un problème fondamental de l’architecture de WhatsApp : le numéro de téléphone lui-même est la vulnérabilité.” — Marijus Briedis, CTO chez NordVPN.
Cela signifie que toute personne possédant des compétences techniques de base aurait potentiellement pu collecter des milliards de points de données, permettant ainsi des attaques très ciblées, notamment par hameçonnage, usurpation d’identité et escroquerie d’ingénierie sociale. La vitesse à laquelle ces données pourraient être extraites est particulièrement alarmante.
Les implications plus larges
Cet incident met en évidence une tendance plus large : les risques inhérents à l’utilisation de numéros de téléphone comme principaux identifiants d’utilisateur. Les numéros de téléphone sont publics, permanents et faciles à récupérer, ce qui les rend impropres à une authentification sécurisée dans les environnements numériques modernes. De nombreuses plateformes s’appuient encore sur les numéros de téléphone pour l’enregistrement et la vérification, créant ainsi une vulnérabilité systémique que les cybercriminels peuvent exploiter.
Les découvertes des chercheurs, publiées dans un article préimprimé intitulé « Hé là ! Vous utilisez WhatsApp : « Énumérer trois milliards de comptes pour la sécurité et la confidentialité », rappelle brutalement que même les plateformes matures comme WhatsApp ne sont pas à l’abri de défauts de conception fondamentaux.
Réponse de Meta et accusations récentes
Meta, la société mère de WhatsApp, affirme avoir corrigé et atténué la vulnérabilité, affirmant qu’il n’y a aucune preuve d’exploitation malveillante. La société reconnaît également la divulgation responsable effectuée par les chercheurs de l’Université de Vienne dans le cadre de son programme Bug Bounty.
Cependant, cela fait suite aux récentes accusations d’un ancien chef de la sécurité de WhatsApp, Attaullah Baig, qui a intenté une action en justice alléguant des défaillances systémiques dans la lutte contre les piratages et les piratages de comptes, avec plus de 100 000 comptes compromis quotidiennement. Les affirmations de Baig suggèrent que les pratiques de sécurité de WhatsApp pourraient être plus laxistes qu’elles ne l’ont publiquement admis.
Ce que cela signifie pour les utilisateurs
La révélation de cette faille est un signal d’alarme tant pour les utilisateurs que pour les plateformes. Cela souligne la nécessité de méthodes de vérification d’identité plus solides, au-delà des numéros de téléphone, telles que les identifiants décentralisés ou l’authentification biométrique.
En fin de compte, cet incident renforce la réalité selon laquelle la confidentialité en ligne est une bataille continue et non un état figé. Les utilisateurs doivent rester vigilants quant à leurs empreintes numériques, et les plateformes doivent donner la priorité à des mesures de sécurité robustes pour protéger leur base d’utilisateurs.
