Une énorme faille WhatsApp a été découverte, mettant en danger 3,5 milliards de numéros de téléphone (et 2 milliards de photos de profil).

Une vulnérabilité dans le système de découverte de contacts de WhatsApp a permis à des chercheurs autrichiens de collecter 3,5 milliards de numéros et d'informations publiques, puis de les détruire et de les signaler à Meta.

Un groupe de chercheurs de l'Université de Vienne et du centre de recherche SBA ont identifié une vulnérabilité étonnamment simple au sein de la fonction de découverte de contacts de WhatsApp, celle que l'application utilise pour vérifier si un numéro est enregistré sur la plateforme.

En automatisant ces demandes sans rencontrer de limites techniques, les chercheurs ont réussi à constituer une archive de 3,5 milliards de numéros de téléphone provenant de 245 pays. Tout cela sans pirater les serveurs ni contourner le cryptage de bout en bout, mais en utilisant un mécanisme déjà fourni par l'application.

L’attaque n’a pas nécessité de techniques avancées : il a suffi de tenter systématiquement des séquences de numéros de téléphone. En plus de la présence du compte, le système a renvoyé des informations que WhatsApp rend publiques par défaut, telles que les photos de profil (récupérées dans 57 à 59 % des cas), les statuts personnels (environ 29 %), le type d'appareil et les clés publiques associées. La collection a également révélé des éléments curieux, comme des utilisateurs actifs dans des pays où l'application est officiellement interdite, notamment la Chine, le Myanmar et la Corée du Nord.

Implications en matière de confidentialité et précédents négligés

L'étude a mis en évidence un problème connu depuis des années : déjà en 2017, la possibilité d'énumérer les comptes WhatsApp avait été signalée, bien que sous une forme limitée. Malgré cela, la plateforme n’a pas introduit de barrières véritablement efficaces contre les demandes automatisées à grande échelle.

Les chercheurs ont également souligné des problèmes collatéraux critiques : environ la moitié des personnes impliquées dans la fuite de données Facebook de 2021 sont toujours actives sur WhatsApp et des anomalies ont été observées dans la réutilisation de certaines clés cryptographiques, notamment par des applications non officielles.

La réponse de Meta

Une fois la faille identifiée, l’équipe a détruit les données collectées et a informé Meta, qui a confirmé avoir pris des mesures pour atténuer le problème. Selon l’entreprise, rien ne prouve que cette vulnérabilité ait été exploitée par des acteurs malveillants. Meta a également réitéré sa collaboration avec des chercheurs dans le cadre de son programme Bug Bounty, reconnaissant que la technique utilisée dépassait les limites fixées pour les requêtes automatiques. Malgré ces assurances, l’histoire rouvre le débat sur la nécessité de contrôles plus rigoureux et d’une plus grande transparence dans la gestion des métadonnées, d’autant plus que WhatsApp compte plus de deux milliards d’utilisateurs dans le monde.

Source : GitHub