3,5 milliards de profils WhatsApp exposés
Des chercheurs viennois ont mis au jour une faille de sécurité majeure dans WhatsApp, touchant l’ensemble des 3,5 milliards d’utilisateurs. Le mécanisme de découverte des contacts de l’application permettait d’extraire des métadonnées telles que les numéros de téléphone, les photos de profil et les horodatages.
Une équipe de recherche autrichienne a mis au jour une importante faille de sécurité dans WhatsApp. Selon l’Université de Vienne et SBA Research, cette vulnérabilité a permis d’identifier 3,5 milliards de comptes, dont environ 8,4 millions en Suisse, d’après le preprint de l’étude.
La faille se trouvait dans le mécanisme de Contact Discovery de WhatsApp, qui permet à l’application d’indiquer quels contacts téléphoniques utilisent également le service. Les chercheurs ont exploité ce système: ils affirment avoir pu interroger les serveurs à hauteur de 100 millions de numéros par heure, leur permettant de cartographier l’ensemble des comptes actifs dans 245 pays.
Les données exposées
Selon le communiqué, les informations collectées comprenaient le numéro de téléphone, la clé publique, l’horodatage, ainsi que la photo de profil et le texte de présentation accessibles publiquement. À partir de ces éléments, les chercheurs ont pu déduire d’autres métadonnées, comme l’ancienneté du compte ou les appareils qui y étaient associés.
Le contenu des messages privés n’a toutefois pas été compromis grâce au chiffrement de bout en bout. Néanmoins, l’étude met en évidence des risques potentiels: «Nos travaux montrent que des risques pour la protection des données peuvent également survenir lorsque de telles métadonnées sont collectées et analysées à grande échelle», explique Aljosha Judmayer de l’Université de Vienne.
Ce que révèlent les données à l’échelle mondiale
Les données collectées ont également permis de dresser un tableau global de l’utilisation de WhatsApp. Les chercheurs ont ainsi identifié des millions d’utilisateurs dans des pays comme la Chine, l’Iran ou le Myanmar, alors même que WhatsApp y est officiellement interdit. Ils ont aussi pu établir la répartition mondiale des systèmes d’exploitation: selon leurs analyses, 81% des comptes utilisent Android et 19% iOS. L’étude montre en outre que les habitudes en matière de protection des données et d’activité des comptes varient fortement d’un pays à l’autre.
Dans certains cas, les chercheurs ont observé la réutilisation de clés de sécurité sur plusieurs appareils ou numéros de téléphone. Cela pourrait signaler des problèmes liés à l’usage de versions non officielles de WhatsApp ou à des tentatives de fraude. L’université souligne également que la moitié des 500 millions de numéros compromis lors de la fuite de données Facebook de 2021 sont toujours actifs sur WhatsApp et restent donc exposés à des risques.
Réaction de Meta
Les chercheurs affirment avoir informé Meta (propriétaire de WhatsApp) immédiatement et avoir supprimé toutes les données avant publication. Meta indique avoir déjà déployé des mesures pour corriger la faille.
«Cette collaboration a permis d'identifier une nouvelle technique d'énumération qui dépassait les limites que nous avions prévues et permettait aux chercheurs de récupérer des informations fondamentales accessibles au public», explique Nitin Gupta, vice-président de l'ingénierie chez Whatsapp. «Nous avions déjà travaillé sur des systèmes anti-scraping de pointe, et cette étude a été déterminante pour tester la résistance et confirmer l'efficacité immédiate de ces nouvelles mesures de défense».
Meta précise qu’à ce jour, aucune indication d'une utilisation abusive de cette faille de sécurité n’a été constatée.
