Quiconque utilise WhatsApp au quotidien (presque n’importe qui, pourrait-on dire) connaît bien la commodité de son système de recherche de contacts : il suffit d’ajouter un numéro de téléphone au carnet d’adresses et l’application, comme toujours en quelques instants, montre non seulement si l’utilisateur est enregistré au service mais aussi l’image de profil et le texte associé. Une solution simple et immédiate, souvent considérée comme allant de soi ; Il est dommage que cette simplicité d’utilisation ait ouvert la porte à ce que les chercheurs appellent la plus grande exposition de numéros de téléphone jamais documentée.
En fait, selon ce qu’ont rapporté des universitaires de l’Université de Vienne, jusqu’à il y a quelques mois, n’importe qui, y compris des groupes de hackers organisés et d’acteurs malveillants avec des objectifs bien plus sérieux que le simple spam, pouvait scanner des milliards de numéros de téléphone via WhatsApp Web et vérifier automatiquement lesquels étaient enregistrés sur la plateforme ; De plus, pour plus de la moitié des 3,5 milliards d’utilisateurs concernés, les photos de profil étaient également accessibles, tandis que pour près d’un tiers, les textes de statut étaient disponibles.
Une faille connue depuis des années dans WhatsApp mais ignorée jusqu’à récemment
Le plus surprenant et le plus inquiétant n’est pas tant l’existence des vulnérabilités, mais le fait qu’elles aient été signalées en 2017 par un autre chercheur, sans toutefois recevoir l’attention voulue. La technique utilisée est désarmante par sa simplicité : essayer, les uns après les autres, tous les numéros possibles, comme le ferait n’importe quel utilisateur en ajoutant manuellement un contact, mais à une échelle infiniment plus grande.
Les chercheurs autrichiens ont réussi à vérifier environ 100 millions de numéros par heure, profitant du fait que WhatsApp Web, malgré les avertissements reçus au fil des années, n’appliquait aucune limite au nombre de demandes de découverte de contacts pouvant être effectuées dans un intervalle de temps donné ; un détail qui, comme on le voit, a rendu la procédure automatisable et extraordinairement efficace.
Meta, notifiée à nouveau en avril 2025, a enfin mis en place un système limitation de débit seulement en octobre, bloquant de fait la possibilité de répéter la même opération à grande échelle. L’entreprise, comme c’est souvent le cas dans ces cas-là, a tendance à minimiser la gravité du problème en affirmant que les données exposées étaient des informations de base accessibles au public et que le contenu des profils n’avait pas été montré à ceux qui les avaient rendus privés via les paramètres du compte.
Cependant, les chercheurs eux-mêmes soulignent qu’ils n’ont dû contourner aucun mécanisme de défense, simplement parce qu’il n’y en avait pas ; et s’il est vrai que les données collectées dans le cadre de l’étude ont été immédiatement éliminées, l’énorme point d’interrogation reste lié à celui de savoir qui, les années précédentes, aurait pu exploiter la même méthodologie sans laisser de traces.
Le principal risque est évidemment celui d’avoir fourni une base de données pratiquement parfaite pour les opérations de phishing, de spam ou d’attaques ciblées, mais des scénarios encore plus inquiétants apparaissent : des chercheurs ont découvert des millions de numéros enregistrés sur WhatsApp même dans des pays où l’application est interdite, comme la Chine et le Myanmar. Dans de tels contextes, l’obtention d’une liste complète des utilisateurs pourrait théoriquement permettre aux gouvernements d’identifier et de poursuivre en justice ceux qui utilisent des services de communication non autorisés.
Non moins inquiétant est le fait qu’en analysant les clés cryptographiques associées aux comptes, les chercheurs ont identifié des milliers de doublons, probablement imputables à des clients WhatsApp non officiels, souvent utilisés par des fraudeurs, qui mettent en œuvre de manière incorrecte le système de cryptage de bout en bout.
De cette histoire ressort un élément qui, comme le soulignent souvent les experts, concerne également bien d’autres plateformes : les numéros de téléphone n’ont pas été conçus pour faire office d’identifiants secrets, ils ne sont pas assez complexes, ils n’offrent pas suffisamment d’aléatoire et surtout ils ne peuvent pas être facilement combinés par les utilisateurs ; une condition qui rend inévitable la nécessité de systèmes de protection supplémentaires et plus efficaces.
Ce n’est pas un hasard si WhatsApp teste depuis un certain temps un système basé sur le nom d’utilisateur, qui pourrait atténuer au moins partiellement ce type de risque ; Cependant, on ne sait pas quand il sera disponible pour tout le monde, nous devrons donc attendre encore un peu.
Comme toujours, la bonne nouvelle est que les messages restent protégés grâce au chiffrement de bout en bout, la mauvaise nouvelle est que le profil public, trop souvent configuré à la légère, représente une fenêtre accessible à quiconque sait où chercher.
Le conseil est donc celui que beaucoup d’entre vous auront entendu répéter au fil des années ; vérifiez vos paramètres de confidentialité, limitez la visibilité de votre photo de profil à vos contacts et évaluez soigneusement les informations personnelles à inclure dans la section d’informations.
L’histoire soulève en tout cas d’importantes questions sur la sécurité des services que nous utilisons quotidiennement et sur les priorités que des entreprises comme Meta attribuent à l’équilibre entre facilité d’utilisation et protection des données. Il ne reste plus qu’à attendre les développements futurs et à comprendre si l’adoption de noms d’utilisateur, ainsi que d’autres mesures correctives possibles, parviendront réellement à empêcher des épisodes similaires.
