Une énorme faille sur l’application de téléphonie mobile WhatsApp, a exposé 3,5 milliards de numéros de mobile.
En effet, des chercheurs en sécurité ont mis au jour une faille béante qui leur a permis d’extraire quelque 3,5 milliards de numéros de téléphone d’utilisateurs de WhatsApp.
La trop grande simplicité d’utilisation de WhatsApp est sans doute aussi son plus gros point faible. Une équipe de chercheurs en sécurité autrichienne vient de le démontrer en réussissant à extraire quelque 3,5 milliards de numéros de mobile d’utilisateurs de la messagerie instantanée. Et pour y arriver, ils ne sont pas allés chercher très loin.
Une faille vieille de 2017 jamais corrigée par Meta
La méthode utilisée pour réussir à dénicher les données des utilisateurs n’a en effet rien de très technique. Les chercheurs se sont en effet directement du système de découverte de contacts de l’application de messagerie. En enregistrant un à un tous les numéros de téléphone possibles, ils ont réussi, sans mal, à trouver des utilisateurs et à obtenir leur nom. Sur les 3,5 milliards de numéros qui correspondaient à un utilisateur de WhatsApp, un peu plus de la moitié leur a même permis d’obtenir la photo de l’utilisateur associé au numéro, et près d’un tiers de ces numéros leur laissait accéder au statut.
Le principal problème soulevé par ces chercheurs, c’est que cette « brèche » de sécurité est connue de Meta depuis des lustres. En 2017, un autre chercheur en sécurité avait en effet déjà averti la maison mère de WhatsApp quant à la possibilité d’extraire des données en utilisant cette méthode. Malgré cet avertissement, Meta n’a visiblement jamais jugé bon de modifier son système, en limitant, par exemple le nombre de requêtes qu’il est possible de lancer pour rechercher un utilisateur. Pour mener à bien leur opération, les chercheurs sont directement passés par l’interface Web du service, ce qui leur a permis de procéder à la vérification d’environ 100 millions de numéros par heure.
Potentiellement la plus grande fuite de données de l’histoire
La bonne nouvelle, c’est que l’extraction de ces données n’a pas été menée par des âmes malintentionnées. Mais les chercheurs sont catégoriques « À notre connaissance, il s’agit de l’exposition la plus étendue de numéros de téléphone et de données associées jamais documentée », a indiqué Aljosha Judmayer, un des chercheurs à l’origine de cette découverte.
Les chercheurs, qui ont depuis supprimé leur copie des 3,5 milliards de numéros de téléphone d’utilisateurs WhatsApp, expliquent avoir averti Meta en avril dernier de leur découverte. Meta a finalement poussé, courant octobre, une mise à jour visant à limiter le nombre de requêtes qu’il est possible de soumettre pour rechercher un contact. La maison mère de WhatsApp, qui a depuis récompensé l’équipe de chercheur autrichienne via son programme Bug Bounty, a toutefois tenté de minimiser les choses, estimant qu’il ne s’agissait que « d’informations publiques basiques ».