Des chercheurs autrichiens ont mis en avant une faille majeure de WhatsApp. Ils ont réussi à identifier et extraire 3,5 milliards de numéros de téléphone. Celle-ci a été corrigée par Meta, 8 ans après un premier signalement. Explications. Pour ajouter un utilisateur de WhatsApp à ses contacts, il suffit simplement de connaître son numéro de téléphone. La manipulation reste assez simple, on fait “ajouter un contact” et on renseigne le numéro. S’il y a bien une correspondance, le contact est ajouté. Généralement, on accède même à sa photo de profil et au nom associé. Le souci, c’est que Meta n’avait pas mis en place de contrôle du nombre de requêtes. Ce point avait été soulevé en 2017. Néanmoins, l’entreprise américaine n’avait pas notifié d’anomalie, prétextant que chaque utilisateur pouvait restreindre l’accès à certaines données via les paramètres. Comme le précise Wired, des chercheurs autrichiens ont donc décidé d’automatiser le processus d’ajout d’un contact. Ainsi, ils on pu tester de manière automatique chaque combinaison de numéros de téléphone. Cela leur a permis d’identifier toutes celles qui mènent à un contact actif. En seulement 30 minutes, ils ont pu extraire un enregistrement contenant 30 millions de numéros américains. Ils ont ensuite poursuivi l’expérience jusqu’à réussir à identifier et collecter 3,5 milliards de numéros d’utilisateurs actifs. Comme tout le monde ne restreint pas l’accès à ses informations liées au profil, ils ont pu accéder aux photos de profil de 57 % des utilisateurs concernés et aux textes des profils pour 29 % d’entre eux. L’un des chercheurs, Aljosha Judmayer, parle de “l’exposition la plus vaste de numéros de téléphone et de données d’utilisateurs jamais documentée”. Pour éviter toute exposition publique des données collectées, la base a été effacée et Meta a été à nouveau alerté. Cela a permis à l’entreprise américaine de fixer une limite aux requêtes. Ainsi, cela évite qu’un acteur malveillant puisse faire de même. Un représentant de Meta a d’ailleurs indiqué à 9to5Mac “n’avoir trouvé aucune preuve d’acteurs malveillants abusant de ce vecteur”. De plus, les données extraites étaient publiquement accessibles. Les chercheurs n’ont pas réussi à collecter de données privées. Cela comprend les messages protégés par un chiffrement de bout en bout.