Des chercheurs de l’Université de Vienne ont découvert une faille permettant d’aspirer 3,5 milliards de numéros de téléphone enregistrés sur WhatsApp.
En exploitant les API de découverte de contacts, cette fonction qui permet de trouver vos amis via leur numéro, ils ont pu interroger plus de 100 millions de comptes par heure. Meta a corrigé la vulnérabilité et remercié les chercheurs dans le cadre de son programme de primes aux bugs. Mais cette attaque montre un problème structurel : votre numéro WhatsApp n’est jamais vraiment privé.
La faille repose sur un mécanisme bien connu. Pour faciliter la recherche de contacts, WhatsApp propose des API de découverte qui associent numéros de téléphone et comptes utilisateurs. Vous entrez un numéro, l’API vous dit si un compte WhatsApp existe, et peut afficher la photo de profil ou le texte « À propos » si l’utilisateur les a rendus visibles. Ce système est indispensable au fonctionnement de l’app, mais il ouvre aussi la porte à l’énumération massive : tester des millions de numéros pour cartographier la base utilisateurs.
Des protections existent pour empêcher ce type d’attaque, limitation du nombre de requêtes, détection des comportements suspects, etc.
Mais les chercheurs autrichiens les ont contournées. Ils ont pu scanner plus de 100 millions de numéros par heure via l’infrastructure de WhatsApp, confirmant l’existence de 3,5 milliards de comptes actifs répartis dans 245 pays. L’intégralité de la base utilisateurs mondiale.
Ce que montre cette cartographie massive
Les chercheurs ne se sont pas contentés de collecter des numéros. Ils ont analysé les données pour en extraire des informations statistiques. Ils ont réalisé une photographie inédite de l’usage mondial de WhatsApp.
Première découverte : WhatsApp compte des millions d’utilisateurs actifs dans des pays où l’application est officiellement interdite. Chine, Iran, Myanmar, autant de régions où les utilisateurs passent par des VPN pour contourner la censure. La répartition par système d’exploitation confirme la domination d’Android : 81 % des utilisateurs sont sur le système de Google, contre 19 % sur iOS.
L’analyse des photos de profil montre des différences culturelles marquées. Certains pays affichent massivement des photos personnelles, d’autres privilégient l’anonymat ou les images génériques. Les chercheurs ont aussi comparé leur base de données avec les 500 millions de numéros qui avaient fuité en 2021 environ la moitié sont encore utilisés quatre ans plus tard.
Enfin, l’analyse des métadonnées de compte (ancienneté, nombre d’appareils connectés) permet de tracer des profils d’usage : utilisateurs occasionnels, comptes professionnels multi-appareils, comptes abandonnés puis réactivés. Des informations précieuses pour quiconque voudrait cibler des utilisateurs spécifiques.
Meta corrige, mais le problème de fond demeure
Meta a remercié les chercheurs dans le cadre de son programme de primes aux bugs et assuré avoir corrigé la vulnérabilité. L’entreprise précise qu’elle travaillait déjà sur des systèmes anti-scraping plus robustes, et que cette recherche a permis d’en tester l’efficacité. Les chercheurs ont supprimé les données collectées, et Meta affirme n’avoir constaté aucune utilisation malveillante de la faille.
« Les messages des utilisateurs sont restés privés et sécurisés grâce au chiffrement de bout en bout par défaut de WhatsApp, et aucune donnée non publique n’était accessible aux chercheurs », précise l’entreprise. C’est vrai : les conversations elles-mêmes n’ont pas été compromises. Mais l’accès aux numéros de téléphone, aux photos de profil et aux métadonnées de compte reste un enjeu de confidentialité.
Le fond du problème ? Cette faille n’a rien de nouveau. C’est une vulnérabilité structurelle liée au fonctionnement même de WhatsApp. Pour permettre la découverte de contacts, l’application doit pouvoir associer numéros et comptes. Et dès qu’une API permet cette association, elle peut être exploitée à grande échelle. Les protections existent, mais elles sont toujours contournables avec suffisamment de détermination et de ressources.
Meta peut renforcer ses défenses. Mais tant que WhatsApp s’appuiera sur les numéros de téléphone comme identifiant principal, ce type d’attaque restera théoriquement possible. D’autres messageries comme Signal ou Telegram font face au même dilemme. La solution ? Passer à des identifiants anonymes déconnectés du numéro de téléphone. Mais cela compliquerait considérablement la découverte de contacts — l’une des raisons du succès de WhatsApp.
Téléchargez notre application Android et iOS ! Vous pourrez y lire nos articles, dossiers, et regarder nos dernières vidéos YouTube.
Ce contenu est bloqué car vous n'avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Disqus.
Pour pouvoir le visualiser, vous devez accepter l'usage étant opéré par Disqus avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l'amélioration des produits d'Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l'audience de ce site (en savoir plus)
En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et ses partenaires.
Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.
Gérer mes choix