Whatsapp victime d’une faille majeure : les données de 3,5 milliards de comptes dont 54 millions en France ont été exposées

Cela aurait pu devenir la plus grande fuite de données de l’histoire. La messagerie instantanée WhatsApp est victime d’une faille majeure, les données de 3,5 milliards de comptes, dont 54 millions en France, ont été exposées

Il n’était pas nécessaire d’être un hackeur professionnel pour récupérer les données de 3,5 milliards de comptes à travers le monde, a révélé une équipe de chercheurs au média Wired ce mercredi 18 novembre qui a dévoilé une faille concernant la messagerie instantanée opérée par Meta relativement accessible pour n’importe quel internaute.

L’équipe de l’université de Vienne (Autriche) a d’abord partagé sa découverte sur GitHub. En profitant de la fonctionnalité permettant de vérifier qu’un numéro de téléphone est lié à un utilisateur WhatsApp, elle a testé tous les numéros possibles, ce qui lui a permis de découvrir qui détenait un compte sur l’application mobile.

100 millions de numéros collectés en un temps record

Les chercheurs ont pu collecter jusqu’à 100 millions de numéros par heure et sans rencontrer de limite technique, la plateforme n’opposant aucune résistance même si le volume de demandes dépassait les limites du raisonnable. Il leur a également été possible de récupérer les photos de profil de 57 % des utilisateurs actifs. D’autres risques ont été identifiés, dont celui que représentent l’existence de clés de chiffrement identiques d’un compte à un autre, permettant de faciliter le déchiffrement des conversations privées…

En France, 53 millions de numéros ont pu être récupérés. L’Inde, pays le plus peuplé du monde, est le plus touché avec l’Indonésie. Tous deux représentent près d’un milliard de numéros.

Accessible depuis 2017

Contacté par le média spécialisé dans les technologies émergentes, Meta a indiqué avoir corrigé cette faille en octobre 2024 – la faille datait d’avril 2024 – en renforçant les limites de vérifications. Toutefois, cette faille demeure accessible depuis 2017, ont indiqué les experts. L’un d’eux, Loran Kloeze, avait d’ailleurs alerté sur le problème et Meta l’avait minimisé en soulignant que les utilisateurs de la messagerie instantanée pouvaient choisir de passer leur profil en privé.

Le cœur de la problématique réside dans le fonctionnement global de l’application, les numéros de téléphone étant utilisés comme des identifiants et donc, pas considérés comme sensibles ni confidentiels. Pour renforcer la sécurité de ses utilisateurs, WhatsApp songe à proposer une identification par pseudonyme.