Une faille de sécurité massive dans WhatsApp expose la quasi-totalité des numéros de téléphone des utilisateurs… alors qu'elle était connue depuis 8 ans.

Avec ses plus de 3 milliards d’utilisateurs – dont elle se targue par ailleurs –, WhatsApp fait partie des applications de messagerie les plus utilisées au monde. Mais un grand pouvoir implique de grandes responsabilités. Et si détenir autant de données personnelles en est un, les protéger appartient à WhatsApp. Or, l’application de messagerie de Meta présente une vulnérabilité critique : elle expose 3,5 milliards de numéros de téléphone – soit la quasi-totalité des utilisateurs.

Le plus honteux dans cette situation ? Meta est au courant de cette faille de sécurité depuis 2017 et elle repose sur l’un des avantages de WhatsApp (qui explique notamment pourquoi l’application s’est rapidement imposée comme une messagerie incontournable) : la facilité avec laquelle on peut y trouver un nouveau contact.

Lire aussi : WhatsApp va limiter le nombre de messages qu’on peut envoyer par mois

3,5 milliards de numéros de téléphone exposés à cause d’une faille de sécurité critique de WhatsApp

Pour vérifier si une personne utilise WhatsApp, il suffit d’ajouter son numéro. Simple comme bonjour. C’est justement là que se trouve la faille. Il y a 8 ans, un chercheur en cybersécurité a découvert que la plateforme ne limitait aucunement le nombre de requêtes. Résultat : il suffit de réitérer l’opération des milliards de fois pour récupérer le numéro de n’importe quel utilisateur.

Nous voilà huit ans plus tard, et WhatsApp présente toujours cette même faille puisque c’est celle qui a été exploitée par les hackers pour capturer 3,5 milliards de numéros de téléphone depuis la plateforme. Bon. Rassurez-vous, ce sont des chercheurs de l’Université de Vienne qui ont eu en leur possession votre numéro de téléphone.

Lire aussi : Marre de recevoir des spams sur WhatsApp ? Bonne nouvelle, l’appli va bientôt imposer des limites aux entreprises

Mais cela n’enlève rien à la gravité des faits. Seulement 30 minutes leur ont été nécessaires pour extraire les 30 millions de numéros américains. Ils n’ont ensuite eu qu’à réitérer l’exercice. Selon les experts, si des acteurs malveillants avaient utilisé ce qu’ils appellent un exploit « simple », cela aurait pu engendrer « la plus grande fuite de données de l’histoire ». Évidemment, les chercheurs ont supprimé la base de données recensant les numéros des utilisateurs et ils ont averti Meta.

Cette vulnérabilité est aujourd’hui corrigée, mais il aura fallu près de six mois à WhatsApp pour déployer une mesure de limitation du nombre de vérifications, comme le soulignent nos confrères de 9to5Mac. Surtout, la plateforme semble minimiser les faits : elle déclare qu’elle était déjà en train de traiter le problème et qu’elle n’a identifié aucune preuve d’un usage malveillant de cette faille.