Un mécanisme des plus banals a abouti à une fuite de donnée sans précédant. Tout le monde le sait: pour accéder à une photo de profil sur WhatsApp, il suffit simplement de saisir un numéro. Seulement voilà, on apprend désormais que cette option renferme une faille majeure: elle peut être exploitée à l'infini.
Des chercheurs viennois s’en sont en effet servis pour aspirer plus de 100 millions de numéros de téléphone par heure, sans que WhatsApp ne les freine. Résultat des courses: ils ont pu identifier les 3,5 milliards de comptes actifs dans le monde, dont 8,4 millions en Suisse. Le magazine spécialisé «Heise» – réputé pour sa grande prudence – parle du «plus grand siphonnage de données de l’histoire».
Dans les faits, les chercheurs viennois ont non seulement récupéré des milliards de numéros de téléphone, mais ils ont également mis la main sur de très nombreuses informations personnelles qu'ils ont pu récolter à travers les photos de profil et les statuts rendus public par les utilisateurs. Les données en question sont particulièrement sensibles: elles comprennent des opinions politiques, des affiliations religieuses, des liens vers des profils de rencontres et même des adresses e-mail de collaborateurs gouvernementaux.
Pour les seuls numéros nord-américains, les chercheurs ont téléchargé quelque 77 millions de photos de profil, soit 3,8 téraoctets d’images. Un logiciel de reconnaissance faciale a détecté un visage humain dans deux tiers d’entre elles. Selon «Heise», une telle base permettrait théoriquement de créer un moteur de recherche, qui permettrait d'obtenir un numéro de téléphone en insérant une photo et inversement.
Des données exposées en clair
Les personnes victimes d'un tel vol de données peuvent devenir des cibles idéales pour des appels indésirables, des attaques de phishing ou des arnaques. Les criminels savent en effet que ces numéros sont actifs. Plus préoccupant encore: les chercheurs ont identifié 2,3 millions de comptes WhatsApp actifs en Chine et 1,6 millions au Myanmar – deux pays dans lesquels l’application est interdite. Pour ces utilisateurs, une telle fuite fait peser un réel danger, les autorités pouvant s'en servir pour déceler leur utilisation illégale de la plateforme.
Les données révèlent aussi l’existence de réseaux frauduleux. Au Myanmar et au Nigeria, les chercheurs ont repéré des comptes partageant les mêmes clés de sécurité, un indice clair que plusieurs escrocs exploitent un profil commun pour contacter les mêmes victimes. Plus anecdotique, les données montrent aussi que 81% des utilisateurs de WhatsApp dans le monde sont sur Android, contre seulement 43% en Suisse, où iOS domine nettement.
Meta met un an à réagir
Informée de cette faille par les chercheurs dès le mois de septembre 2024, Meta – maison mère de WhatsApp – a d'abord fait la sourde-oreille. Leurs signalements ont été classés comme de simples «doublons » ou jugés «non pertinents». Ce n'est qu'un an plus tard, lorsque les chercheurs ont évoqué la publication de l'étude, que le géant américain s'est décidé à prendre la parole.
«Nous remercions les chercheurs de l’Université de Vienne pour leur collaboration responsable», déclare aujourd’hui Nitin Gupta, ingénieur en chef chez WhatsApp. Selon lui, leurs travaux ont permis d’identifier une méthode permettant de cibler simultanément des millions de numéros de téléphone. Il affirme toutefois qu’aucun élément ne prouve que des acteurs malveillants ont exploité cette faille. Depuis, plusieurs mesures de protection ont été ajoutées, promet-il.
Avis aux utilisateurs, voici ce qu'il faut faire
Les chercheurs viennois formulent néanmoins une recommandation claire: les utilisateurs devraient revoir la visibilité de leur photo de profil et de leur statut, et limiter l’accès à leurs seuls contacts. La modification se fait dans les réglages de l’application (icône en forme de roue dentée), via Confidentialité > Photo de profil / Info. Il est alors possible de choisir précisément qui voit ces informations.
Il est en outre important de relever que les conversations WhatsApp n’ont jamais été exposées. Le service chiffre les messages de bout en bout, ce qui empêche tout tiers d’y accéder. Mais les données périphériques – les métadonnées – demeurent un risque sous-estimé. Comme le montre l’étude, accumulées en quantité suffisante, elles livrent un tableau étonnamment précis de la vie des utilisateurs.
