Short S2E31 – Une faille WhatsApp expose 3,5 milliards de numéros de téléphone

Une faille WhatsApp pourtant active depuis 2017 a permis à un groupe de chercheurs de récupérer plus de 3,5 milliards de numéros de téléphone. Une vulnérabilité qui interroge, notamment sur la capacité du groupe à protéger les données personnelles.

L’annonce a de quoi paniquer : une équipe de chercheurs autrichiens vient de révéler une faille permettant de récupérer jusqu’à 3,5 milliards de numéros de téléphone présents sur WhatsApp. Une vulnérabilité si massive qu’elle aurait pu devenir l’une des plus grandes fuites de données de l’histoire. Fort heureusement, ce n’était pas le but des chercheurs qui n’ont pas conservé ces informations.

Une faille WhatsApp facile d’accès

Pour obtenir ces milliards de numéros, les chercheurs ont simplement détourné la fonction “découverte”. Cette dernière permet à WhatsApp de repérer automatiquement les contacts déjà présents dans votre répertoire. La démarche des chercheurs a consisté à interroger systématiquement la fonction de découverte de contacts de WhatsApp avec l’ensemble des numéros possibles, afin d’identifier lesquels étaient associés à un compte actif sur la messagerie de Meta. Mais au-delà des numéros, les chercheurs ont parfois pu récupérer des photos de profil et des statuts. Une brèche d’autant plus inquiétante que la vulnérabilité existe depuis 2017.

La réponse de Meta

Dans sa réponse au média Wired, Meta a indiqué qu’elle “remercie” les chercheurs autrichiens via son programme de bug bounty pour avoir mis en lumière cette vulnérabilité. L’entreprise précise que les données accessibles — numéros, photos de profil, statuts — ne concernaient que des “informations publiques basiques”, selon les paramètres de confidentialité des utilisateurs. Si cette vision du problème n’est pas rassurante, Meta affirme par ailleurs avoir déjà mis en place des systèmes anti-scraping avancés (limitation de débit, détection par machine learning) et souligne que cette étude a permis de tester l’efficacité immédiate de ces défenses.

À LIRE AUSSI :

Newtech

Short S2E30 – C’est quoi Grokipedia, le nouveau jouet d’Elon Musk ?

Alessandro Ciolek

31 Oct

Abonnez-vous à la newsletter hebdo d'IT for Business !

Rejoignez notre liste de diffusion pour recevoir toutes les semaines une sélection d'articles et quelques autres surprises préparées spécialement pour vous par notre rédaction.

ABONNEZ-VOUS !

Nous vous envoyons un e-mail de validation !