Connexion
WhatsApp permettait de récupérer les infos liées à 3,5 milliards de numéros de téléphone
La fuite évitée du carnet d'adresse du monde entier
Des chercheurs en sécurité autrichiens ont identifié et pu exploiter une faille de sécurité dans WhatsApp leur permettant de récupérer des informations personnelles liées à 3,5 milliards de numéros via l’API XMPP de l’application. Informée de la possibilité d’une faille en septembre 2024, l’entreprise a mis plus d’un an à leur répondre et à y remédier.
Quand on ajoute un contact dans WhatsApp, on se rend compte rapidement que l’application permet, avec juste le numéro de téléphone, de connaitre le nom de la personne liée ainsi que sa photo de profil. Jusque là, rien de nouveau même si ça pose des questions de confidentialité des données. Mais Gabriel K. Gegenhuber, chercheur en sécurité à l’université de Vienne, et ses collègues se sont aperçus qu’il était possible d’automatiser massivement cette récupération d’information jusqu’à obtenir une base de données de plus de 3,5 milliards de profils avec au moins le nom associé au numéro.
56,7 % de ces comptes avaient des photos de profils associées et les chercheurs ont donc pu les récupérer. De la même façon, ils ont pu connaître le « statut » de 29,3 % des utilisateurs qui l’avaient rempli et savoir que 9 % étaient des profils « business ». Leur accès leur a permis de constater que 8,8 % des profils WhatsApp utilisaient le mode « compagnon » qui permet d’utiliser l’application sur plusieurs appareils. Enfin, les chercheurs soulignent qu’ils ont pu récupérer des informations d’utilisateurs situés en Birmanie, en Chine et en Corée du Nord, « où WhatsApp est officiellement interdit et où les utilisateurs s’exposent à de lourdes sanctions s’ils l’utilisent ».
WhatsApp a échappé à la « plus grande fuite de données de l’histoire »
Dans leur article (mis en ligne sur GitHub et accepté à la conférence scientifique Network and Distributed System Security, ou NDSS, qui se déroulera en février 2026), les chercheurs affichent d’emblée qu’avec ces 3,5 milliards de comptes actifs concernés, leur découverte aurait été « la plus grande fuite de données de l’histoire, si elle n’avait pas été collectée dans le cadre d’une étude menée de manière responsable ».
