Un informaticien français a découvert une faille dans WhatsApp permettant d’accéder aux informations des personnes inscrites sur le service de messagerie. Ainsi, il a pu avoir accès au numéro de téléphone de Benjamin Grivaux ou encore de Roselyne Bachelot.

En contact avec nos consœurs et confrères de Numérama, Tristan Graniet, informaticien et expert en sécurité, leur a communiqué une de ces découverte : il peut accéder aux informations de différents utilisateurs de WhatsApp sans même avoir de liens avec eux. Il a ainsi pu récupérer les numéros de téléphone de personnalités politiques comme Benjamin Griveaux.

Utilisée pour le chiffrement de ses messages envoyés, WhatsApp est une bonne solution pour discuter de manière sécurisée pour une personne dont les données pourraient attirer les convoitises. Mais personne n’est parfait et le système de la messagerie appartenant à Facebook a aussi ses failles.

Une liste de contacts à décrypter

Pour avoir accès à ce genre de contacts, il a fallu que Tristan utilise un logiciel qu’il avait créé : Operative Framework. Avec ce logiciel, il a pu récupérer des numéros de téléphones qui se sont tous ajoutés dans un fichier vCard (fichier qui regroupe différents contacts téléphoniques).

Il a ensuite du ajouter ce vCard dans son compte iCloud et le lier avec un module de son Operative Framework nomme « WhatsApp Extractor » qui a pu ensuite créer une liste des contacts avec leur photo de profil, leur numéro de téléphone, etc.

Il n’est pas possible d’avoir le nom du contact mais avec la photo de profil on peut vite faire le rapprochement. Une vidéo sur YouTube expliquant le procédé a été publiée par Tristan lui même.

Lien YouTube S’abonner à FrAndroid

Pas un problème pour Facebook

Avant de laisser cette affaire se dévoiler au grand jour, Tristan a informé Facebook de sa découverte qui, après quelques investigations, a décidé que ce problème n’était pas assez grave pour être résolu par rapport aux avantages fonctionnels et commerciaux.

La découverte de cette faille nous montre également que rares sont les services qui sont irréprochables en termes de sécurité. Il y a quelques mois, un simple appel reçu sur l’application pouvait exécuter du code à distance.