Des chercheurs autrichiens ont prouvé qu’il était possible d’obtenir des informations clés sur une personne en tapant son numéro au hasard sur le réseau social. Au total, 3,5 milliards de personnes seraient ainsi concernées.
C’est une importante fuite de données personnelles. Dès lors qu’un utilisateur tape un numéro de téléphone au hasard sur l’application, il est possible – si celui-ci appartient bien à quelqu’un – qu’il ait ainsi accès à toutes vos données personnelles. Un nom, une photo et s’il en existe une, la description du profil. C’est en tout cas ce qu’ont prouvé – comme l’a indiqué le pure-player américain Wired – des chercheurs autrichiens.
À force de manipulations diverses sur l’application, eux ont démontré qu’il était possible d’utiliser cette méthode simple consistant à vérifier tous les numéros possibles dans la recherche de contacts de WhatsApp pour extraire jusqu’à 3,5 milliards de numéros de téléphone d’utilisateurs. Ils ont ainsi découvert qu’ils pouvaient accéder aux photos de profil d’environ 57% de ces utilisateurs et à la description de leur profil pour 29% d’entre eux.
Une faille déjà connue
Ce qui fait dire aux chercheurs autrichiens qu’il s’agit de «la plus grande fuite de données de l’Histoire» si l’étude n’avait pas été menée «en interne et de manière responsable» par leur groupe de travail. Les chercheurs affirment avoir supprimé leur copie des 3,5 milliards de numéros de téléphone et avoir averti Meta de leurs conclusions en avril. À la suite de quoi l’entreprise américaine aurait endigué le problème, en empêchant que chacun puisse recourir à cette méthode à grande échelle, en limitant le nombre de recherches possible.
Il n’en demeure pas moins que Meta a récemment remercié les chercheurs, assurant «travailler sur des systèmes anti-scraping de pointe», tout en concédant que cette étude avait «joué un rôle déterminant» pour tester ces systèmes de défense. Cité par Wired, le vice-président de l’ingénierie chez WhatsApp Nitin Gupta a en outre affirmé qu’il n’existait «aucune preuve» que cette technique ait été utilisée par des «acteurs malveillants» et a rappelé au passage que les messages des utilisateurs étaient quant à eux restés bien «privés et sécurisés grâce au chiffrement de bout en bout par défaut de WhatsApp». Et de promettre : «aucune donnée non publique n’a été accessible aux chercheurs».