Une faille dans Whatsapp, exploitable par n’importe qui, exposait 3,5 milliards de numéros de téléphone, dont 53 millions pour la France seule

Whatsapp pourrait bien rapidement devoir faire face à ses responsabilités. La messagerie instantanée opérée par Meta est en effet victime d'une faille majeure, mais particulièrement simple a exploitée. Elle permet d'extraire jusqu'à 3,5 milliards de données liées aux utilisateurs, allant du numéro de téléphone à leur photo de profil, en passant par la description choisie par l'utilisateur.

Dans un article de Wired, on apprend que cette faille, qui a de quoi impressionner par l'ampleur de son impact est simple à exploiter. Au point qu'il n'est pas nécessaire d'être un hackeur professionnel pour en tirer parti, bien au contraire. C'est une équipe de l'université de Vienne qui a pu l'utiliser, et qui a partagé sa découverte sur Github. Elle a profité de la fonctionnalité permettant de vérifier qu'un numéro de téléphone est lié à un utilisateur de Whatsapp et testé tous les numéros possibles. L'équipe a ainsi pu découvrir ceux qui possédait un compte.

Une faille en partie corrigée

Résultat, les chercheurs ont pu collecter jusqu'à 100 millions de numéros par heure, et ce, sans rencontrer aucune limite technique. Whatsapp n'opposait alors aucune résistance dans le cas où un utilisateur cherchait à vérifier des numéros, même si le volume de demande dépassait les limites du raisonnable.

"(Cela aurait pu devenir) la plus grande fuite de données de l'histoire," estiment-ils, si des acteurs malveillants s'en étaient emparé.

En réponse, Meta a expliqué avoir corrigé cette faille en octobre 2024 - la découverte date d'avril 2024 - tout simplement en renforçant les limites de vérification.

Mais l'étude montre aussi que cette faille est au moins accessible depuis 2017. Loran Kloeze, un chercheur, avait d'ailleurs alerté sur le problème à cette époque, et Meta l'avait minimisé en expliquant que les utilisateurs pouvaient mettre leur profil en privé.

Outre le numéro de téléphone, il est devenu possible de récupérer les photos de profils pour 57% des utilisateurs actifs sur Whatsapp. Pour la France seulement, ce sont près de 54 millions de numéros qui ont pu être récupérés. L'Inde et l'Indonésie sont les plus touchés avec, à eux deux, près d'un milliard de numéros.

Pire encore, d'autres risques ont été identifiés, dont des clés de chiffrement semblables d'un compte à un autre, permettant donc de faciliter le déchiffrement des conversations privées. Les chercheurs estiment que cela provient d'applications Whatsapp non officielles, possiblement générées par des pirates. Ils en donnent pour preuve le nombre de numéros chinois récupérés, pays où Whatsapp est interdit, et qui s'établit à 2,3 millions.

Il apparaît que c'est le fonctionnement global de Whatsapp qui pose ici problème: les numéros sont en effet utilisés comme des identifiants, et ne sont donc pas considérés comme sensibles et confidentiels. Pour tenter de remédier à cela, Meta cherche à multiplier les possibilités, notamment en proposant une identification par pseudonyme.

Pour les chercheurs, cette faille, certes corrigée en partie, est importante et vient poser des questions sur ce qu'elle permet de faire, notamment au sein des pays tenus d'un main de fer par un gouvernement répressif.