Une faille dans le mécanisme de découverte des contacts a permis d’extraire des métadonnées à l’échelle mondiale.
Source : Pexels
Des chercheurs de l’Université de Vienne et du centre SBA Research ont identifié une faille majeure dans WhatsApp. Selon leur analyse, le mécanisme de Contact Discovery a permis d’identifier 3,5 milliards de comptes actifs dans 245 pays. En Suisse, 8,4 millions de profils seraient concernés.
En exploitant ce système, les chercheurs ont pu envoyer jusqu’à 100 millions de requêtes par heure. Une capacité qui leur a permis de dresser une carte quasi complète des comptes WhatsApp existants.
Quelles données ont été révélées
Les informations récupérées comprenaient le numéro de téléphone, la clé publique, les horodatages, ainsi que la photo de profil et le texte de présentation lorsque ceux-ci étaient visibles publiquement. En croisant ces éléments, l’équipe a déduit d’autres indicateurs, comme l’ancienneté du compte ou les types d’appareils associés.
Le contenu des messages n’a pas été compromis, WhatsApp utilisant un chiffrement de bout en bout. Les chercheurs rappellent toutefois que les métadonnées — même isolées — peuvent donner des informations sensibles lorsqu’elles sont collectées à grande échelle.
Une vision mondiale de l’usage de WhatsApp
L’étude a permis d’observer plusieurs tendances. Les chercheurs ont identifié des millions d’utilisateurs dans des pays où WhatsApp est officiellement interdit, comme la Chine, l’Iran ou le Myanmar. Ils ont aussi mis en lumière la répartition des systèmes d’exploitation: environ 81% des comptes fonctionnent sous Android et 19% sous iOS.
Ils ont également repéré des réutilisations inhabituelles de clés de sécurité sur plusieurs appareils ou numéros, ce qui pourrait être lié à des versions non officielles de WhatsApp ou à des tentatives de fraude.
Réaction de Meta
Les chercheurs ont communiqué leurs découvertes à Meta avant publication et ont supprimé toutes les données récoltées. Meta affirme avoir mis en place des mesures correctives.
Selon Nitin Gupta, vice-président de l’ingénierie chez WhatsApp, cette étude a révélé «une nouvelle technique d’énumération» qui dépassait les limites prévues par leurs systèmes. Il précise que les protections anti-scraping ont été renforcées et qu’aucune exploitation malveillante confirmée n’a été observée à ce jour.