Une faille majeure expose 3,5 milliards de numéros WhatsApp, la plus massive jamais enregistrée

Des chercheurs affiliés à l’université de Vienne ont révélé l’ampleur d’une vulnérabilité exploitée depuis 2017. En utilisant le système de découverte de contacts de WhatsApp, ils ont identifié 3,5 milliards de numéros actifs. Pour plus de la moitié, les photos de profil restaient accessibles. Pour près d’un tiers, les descriptions personnelles l’étaient également.

La méthode employée s’avère remarquablement simple : tester systématiquement tous les numéros possibles via l’interface web de WhatsApp. Sans limitation de débit rigoureuse jusqu’à octobre dernier, les chercheurs pouvaient vérifier cent millions de numéros chaque heure. Gabriel Gegenhuber, l’un des contributeurs à cette recherche, explique avoir récupéré environ trente millions de numéros américains en simplement trente minutes.

Cette faille avait déjà été signalée à Meta dès 2017 par Loran Kloeze, un développeur néerlandais. Cependant, l’entreprise refusa de considérer cela comme une vulnérabilité, affirmant que les paramètres de confidentialité fonctionnaient correctement. Meta soulignait que chaque utilisateur peut choisir de masquer son profil, occultant ainsi la réalité des usages réels sur le terrain.

Les risques dépassent le simple spam commercial. Les chercheurs ont découvert 2,3 millions de numéros chinois et 1,6 million birmans, deux nations où WhatsApp demeure interdit. En Chine, des arrestations ont eu lieu simplement pour possession de l’application. Aljosha Judmayer qualifie cette exposition de plus massive jamais documentée concernant les données téléphoniques et informations personnelles.

Meta a finalement corrigé la faille en octobre, quatre mois après avoir reçu la notification des chercheurs en avril. L’entreprise affirme n’avoir découvert aucune preuve d’exploitation malveillante de cette vulnérabilité.