Connexion
L’affaire prend une dimension inattendue lorsque des chercheurs de l’Université de Vienne et du laboratoire SBA Research démontrent qu’il leur a suffi d’exploiter une faiblesse fondamentale du système de découverte de contacts de WhatsApp pour récupérer la quasi-totalité du répertoire mondial. En interrogeant massivement les serveurs, ils ont pu vérifier plus de 100 millions de numéros par heure et confirmer l’existence de 3,5 milliards de comptes actifs à travers l’ensemble des pays du monde. Les messages demeurent chiffrés, mais le numéro de téléphone, la photo de profil si elle était publique, le texte “À propos” et certains éléments techniques comme les clés publiques étaient accessibles sans obstacle. Pour une plateforme revendiquant plus de trois milliards d’utilisateurs, cela représente une extraction à l’échelle planétaire, inédite dans l’histoire des fuites de métadonnées.
Les informations collectées par les chercheurs prouvent que la brèche ne relève pas d’un simple incident technique, mais d’un problème structurel. Dans de nombreux pays où WhatsApp était interdit, les bases de données révèlent des millions d’utilisateurs actifs. En Iran, les chiffres collectés pendant la période de blocage correspondent à près des deux tiers de la population. En Chine, plus de deux millions de comptes étaient toujours actifs malgré l’interdiction. Dans certains contextes, cette exposition prenait une dimension critique, car l’accès massif aux numéros pouvait suffire à identifier des utilisateurs dont la simple présence sur l’application les plaçait en situation de danger réel.
Les données personnelles exposées ouvrent aussi une fenêtre inquiétante sur les comportements en ligne. Environ 57 % des utilisateurs publient une photo de profil visible par tous, ce qui a permis aux chercheurs de télécharger 77 millions d’images pour la seule zone +1 en Amérique du Nord. Un échantillon analysé au moyen d’une reconnaissance faciale montre qu’un visage identifiable apparaît dans deux cas sur trois. Certaines photos laissent entrevoir des plaques d’immatriculation, des lieux facilement reconnaissables ou des environnements domestiques. Près d’un tiers des comptes comportent également un message de statut public, parfois en lien avec des opinions politiques, des orientations personnelles ou des activités illégales. L’ensemble constitue une matière première rêvée pour le phishing, l’usurpation d’identité ou le ciblage criminel.
La faille prend des allures encore plus troublantes lorsqu’on découvre qu’elle était documentée depuis 2017. WhatsApp n’imposait aucune limite réelle au nombre de requêtes permettant de vérifier si un numéro était associé à un compte. Ce mécanisme, conçu pour faciliter l’ajout de nouveaux contacts, pouvait être répété des milliards de fois sans alerte. Les chercheurs affirment avoir prévenu Meta à plusieurs reprises à partir de septembre 2024 sans obtenir de réaction notable. Ce n’est qu’à la veille de la publication de leurs travaux que l’entreprise commence à déployer des contre-mesures, dont une limitation plus stricte du rythme de requêtes.
Meta assure aujourd’hui que la vulnérabilité est corrigée et qu’aucune preuve d’exploitation malveillante n’a été détectée. Les chercheurs, eux, rappellent que la question n’est pas seulement technique. Elle touche à la culture même des grandes plateformes, à leur capacité à identifier leurs propres angles morts et à réagir en temps utile. Leur étude insiste sur la valeur stratégique des métadonnées, ces informations périphériques qui, sans révéler le contenu des conversations, permettent de dresser un portrait étonnamment précis des utilisateurs et des dynamiques à l’échelle d’un pays.
Les informations collectées par les chercheurs prouvent que la brèche ne relève pas d’un simple incident technique, mais d’un problème structurel. Dans de nombreux pays où WhatsApp était interdit, les bases de données révèlent des millions d’utilisateurs actifs. En Iran, les chiffres collectés pendant la période de blocage correspondent à près des deux tiers de la population. En Chine, plus de deux millions de comptes étaient toujours actifs malgré l’interdiction. Dans certains contextes, cette exposition prenait une dimension critique, car l’accès massif aux numéros pouvait suffire à identifier des utilisateurs dont la simple présence sur l’application les plaçait en situation de danger réel.
Les données personnelles exposées ouvrent aussi une fenêtre inquiétante sur les comportements en ligne. Environ 57 % des utilisateurs publient une photo de profil visible par tous, ce qui a permis aux chercheurs de télécharger 77 millions d’images pour la seule zone +1 en Amérique du Nord. Un échantillon analysé au moyen d’une reconnaissance faciale montre qu’un visage identifiable apparaît dans deux cas sur trois. Certaines photos laissent entrevoir des plaques d’immatriculation, des lieux facilement reconnaissables ou des environnements domestiques. Près d’un tiers des comptes comportent également un message de statut public, parfois en lien avec des opinions politiques, des orientations personnelles ou des activités illégales. L’ensemble constitue une matière première rêvée pour le phishing, l’usurpation d’identité ou le ciblage criminel.
La faille prend des allures encore plus troublantes lorsqu’on découvre qu’elle était documentée depuis 2017. WhatsApp n’imposait aucune limite réelle au nombre de requêtes permettant de vérifier si un numéro était associé à un compte. Ce mécanisme, conçu pour faciliter l’ajout de nouveaux contacts, pouvait être répété des milliards de fois sans alerte. Les chercheurs affirment avoir prévenu Meta à plusieurs reprises à partir de septembre 2024 sans obtenir de réaction notable. Ce n’est qu’à la veille de la publication de leurs travaux que l’entreprise commence à déployer des contre-mesures, dont une limitation plus stricte du rythme de requêtes.
Meta assure aujourd’hui que la vulnérabilité est corrigée et qu’aucune preuve d’exploitation malveillante n’a été détectée. Les chercheurs, eux, rappellent que la question n’est pas seulement technique. Elle touche à la culture même des grandes plateformes, à leur capacité à identifier leurs propres angles morts et à réagir en temps utile. Leur étude insiste sur la valeur stratégique des métadonnées, ces informations périphériques qui, sans révéler le contenu des conversations, permettent de dresser un portrait étonnamment précis des utilisateurs et des dynamiques à l’échelle d’un pays.
