Une simplicité qui se transforme en vulnérabilité

La très grande facilité d’utilisation de WhatsApp s’est révélée être aussi une faiblesse importante. Une équipe de chercheurs en sécurité autrichienne a réussi à extraire environ 3,5 milliards de numéros de téléphone d’utilisateurs en exploitant la fonction de découverte de contacts de l’application.

Methode simple, résultats massifs

La technique utilisée n’a rien de sophistiqu�t�: les chercheurs ont enregistré, un par un, une grande quantité de numéros afin de vérifier lesquels étaient associés à un compte WhatsApp. En passant par l’interface Web du service, ils ont pu automatiser ces vérifications et atteindre un rythme d’environ 100 millions de numéros contrôlés par heure.

Sur les 3,5 milliards de numéros identifi�s comme appartenant à un compte WhatsApp :

• un peu plus de la moitié ont permis d’obtenir la photo de profil ;

Une faille connue depuis 2017

Le principal grief des chercheurs est que cette possibilit� d’extraction �tait d�j� connue de Meta depuis 2017. Un chercheur avait alors averti la maison m�re de WhatsApp de la possibilit� d’abuser du syst�me de recherche de contacts. Meta n’a visiblement jamais limit� le nombre de requêtes permises, ce qui a rendu l’opération triviale à grande échelle.

Notification et r�action de Meta

Les chercheurs indiquent avoir averti Meta en avril de leur d�couverte et ont ensuite supprim� leur copie des 3,5 milliards de numéros. Meta a d�ploy� courant octobre une mise � jour visant � limiter le nombre de requ�tes pour rechercher un contact. L’entreprise a également r�compens� l’�quipe autrichienne via son programme Bug Bounty, tout en minimisant l’impact en qualifiant ces donn�es d' »informations publiques basiques ».

Port�e et observations

Les auteurs de la recherche pr�cisent que l’extraction n’a pas �t� effectu�e par des acteurs malveillants dans ce cas, mais ils soulignent l’ampleur du probl�me. Aljosha Judmayer, l’un des chercheurs, a d�clar� : « A notre connaissance, il s’agit de l’exposition la plus �tendue de num�ros de t�l�phone et de donn�es associ�es jamais document�e ».

Ce que cela signifie pour les utilisateurs

• Un num�ro de t�l�phone renseign� sur WhatsApp peut, selon les param�tres de confidentialité du contact, permettre d’acc�der � des informations comme la photo de profil ou le statut.
• M�me des m�thodes simples et connues peuvent, si elles ne sont pas r�glement�es par des limites techniques, conduire � des fuites de grande ampleur.
• La r�action de Meta pour limiter les requ�tes est une mesure corrective, mais elle intervient plusieurs ann�es apr�s l’alerte initiale de 2017.

Cette affaire rappelle que la convivialit� des services doit �tre concili�e avec des garde-fous techniques et des limites d’usage pour pr�venir les abus � grande �chelle.