WhatsApp : Des chercheurs créent un annuaire téléphonique avec les 3,5 milliards d'utilisateurs

Des chercheurs en sécurité de l'Université de Vienne et de SBA Research ont fait une démonstration inquiétante des possibilités de collecte de données sur WhatsApp. L'équipe a réussi à démasquer les 3,5 milliards d'utilisateurs en utilisant la fonction de découverte de contacts de la messagerie. Cette fonction est en fait destinée à vérifier les contacts de votre propre carnet d'adresses.

Les chercheurs ont exploité une énorme faille de sécurité, qui a depuis été comblée. Ils ont découvert que l'interface ne comportait pas de limites de débit suffisantes pour les requêtes. En théorie, cela leur permettait de consulter 100 millions de numéros de téléphone par heure. Des plages complètes de numéros de téléphone ont simplement été examinées. L'étude a finalement été publiée sur Githubet les scientifiques présenteront d'autres résultats et des analyses détaillées lors du symposium sur la sécurité des réseaux et des systèmes distribués (NDSS), qui se tiendra à San Diego du 23 au 27 février 2026.

Cette étude a permis de constituer une énorme base de données d'environ 3,5 milliards de comptes WhatsApp actifs dans le monde. L'API (interface de programmation d'applications) de WhatsApp fournit des métadonnées accessibles au public dès qu'un numéro est identifié comme étant enregistré. Il s'agit notamment des photos de profil, des mises à jour de statut et des informations sur la date de la dernière connexion de l'utilisateur. Des détails techniques ont également pu être glanés, comme la répartition des systèmes d'exploitation. Par exemple, les données montrent qu'environ 81 % des utilisateurs dans le monde utilisent Android, tandis que iOS représente environ 19 %.

Les chercheurs ont également comparé ces données avec la fuite massive de données de Facebook en 2021. 58 % des numéros ayant fait l'objet d'une fuite à l'époque sont encore actifs aujourd'hui. Cela montre à quel point de tels ensembles de données massives peuvent rester précieux, même des années plus tard. Des millions d'utilisateurs actifs ont été identifiés, même dans les pays où la censure de l'internet est stricte et où WhatsApp est bloqué. 2 333 519 comptes avec des numéros de téléphone chinois ont été identifiés. Même en Corée du Nord, au moins cinq numéros de téléphone étaient liés à un compte WhatsApp.

Meta a été informée de la vulnérabilité et a depuis réagi en mettant en place des limites de débit strictes, de sorte que les requêtes massives à cette vitesse ne devraient plus être possibles. Bien que l'entreprise ait déclaré qu'il n'y avait aucune preuve de l'exploitation de la vulnérabilité par des tiers, un examen complet des tentatives passées est techniquement presque impossible. La méthode elle-même est connue dans les cercles de sécurité, c'est pourquoi une utilisation antérieure non détectée par d'autres acteurs est au moins une possibilité.

En outre, un détail technique permet de mieux comprendre le monde de l'ombre de WhatsApp. En temps normal, chaque installation de l'application génère une paire de clés cryptographiques unique, qui constitue la base du chiffrement de bout en bout et garantit l'identité de l'appareil. Or, les chercheurs ont découvert des groupes de numéros de téléphone utilisant la même clé publique, ce qui devrait être techniquement impossible lorsque l'on utilise l'application officielle sur des appareils physiques. Cette réutilisation des clés suggère fortement l'utilisation d'un logiciel non officiel. De tels outils sont fréquemment utilisés dans les "fermes à clics" ou pour les robots de marketing, où les opérateurs copient des identités de sécurité identiques sur de nombreux comptes différents, soit pour des raisons d'efficacité, soit en raison d'une mise en œuvre défectueuse. Cela permet non seulement d'exposer de faux comptes, mais aussi de démontrer que ces clients non officiels peuvent saper massivement l'architecture de sécurité de la messagerie.