Une équipe de chercheurs autrichiens a mis au jour une vulnérabilité d’ampleur exceptionnelle dans WhatsApp, permettant d’aspirer les numéros de téléphone associés à l’ensemble des comptes actifs, soit environ 3,5 milliards de profils. L’étude, relayée par Wired, montre que les photos et les textes de profil pouvaient également être récupérés dans certains cas. Le mécanisme de la faille repose sur une caractéristique très simple : la fonction de recherche par numéro. L’application ne limitant pas le nombre de requêtes autorisées, il suffisait d’interroger la base autant de fois que nécessaire pour faire remonter les comptes correspondants. Les chercheurs expliquent avoir ainsi collecté trente millions de numéros américains en une demi-heure, et près de cinquante-quatre millions pour la France. Ils soulignent que des acteurs malveillants auraient pu exploiter cette absence de protection pour constituer une base de données planétaire, ouvrant la voie à des campagnes massives de phishing, d’usurpation d’identité ou de harcèlement. Selon eux, l’incident aurait pu devenir « la plus grande fuite de données de l’Histoire » si l’opération avait été réalisée par des cybercriminels.
L’équipe dit avoir supprimé l’intégralité des données récoltées après avoir averti Meta
Du côté de WhatsApp, l’entreprise assure avoir corrigé la vulnérabilité et renforcé ses systèmes anti-scraping. Le vice-président de l’ingénierie évoque une amélioration immédiate des outils de détection et de blocage, en partie grâce aux tests menés dans le cadre de cette étude. La faille met en lumière la nécessité pour les plateformes de messagerie d’imposer des limites strictes aux requêtes automatisées. Elle rappelle également, pour les utilisateurs, l’importance d’ajuster les paramètres de confidentialité afin de restreindre la visibilité des informations de profil aux seuls contacts approuvés.
