Une brèche de sécurité d’une ampleur inédite vient d’être dévoilée dans l’application de messagerie la plus utilisée au monde. Des chercheurs autrichiens ont démontré qu’il était possible d’extraire massivement les identifiants et informations personnelles de l’intégralité des utilisateurs de WhatsApp, soulevant des questions majeures sur la protection des données privées.
Des milliards de comptes WhatsApp exposés à une faille majeure
L’ampleur du problème dépasse tout ce qui avait été observé jusqu’à présent dans le domaine de la messagerie instantanée. Une équipe de l’Université de Vienne a réussi à identifier les 3,5 milliards de comptes actifs sur la plateforme. Leur technique leur a permis d’extraire plus de 100 millions de numéros de téléphone par heure, sans qu’aucun mécanisme de protection ne vienne ralentir ou bloquer cette collecte massive. La publication spécialisée Heise, reconnue pour sa rigueur éditoriale, qualifie cette affaire de « plus grand siphonnage de données de l’histoire ».
L’application, déjà visée par plusieurs attaques, s’est progressivement imposée comme l’outil de communication privilégié de milliards de personnes à travers les continents et bénéficiait jusqu’à présent d’une solide réputation en matière de confidentialité grâce à son chiffrement de bout en bout. Cette position dominante, acquise notamment par sa simplicité d’utilisation et son rachat par Facebook (Meta) en 2014, rend d’autant plus préoccupante la vulnérabilité révélée par les chercheurs viennois.
Au-delà des simples numéros de téléphone, les scientifiques ont également mis la main sur une quantité considérable d’informations personnelles. Les photos de profil et statuts publics des utilisateurs ont permis de collecter des données particulièrement sensibles : convictions politiques, appartenances religieuses, liens vers des plateformes de rencontres, et même adresses électroniques d’employés gouvernementaux. En Suisse, 8,4 millions d’utilisateurs ont été concernés par cette collecte.
Meta réagit après un an de silence face aux alertes
La chronologie des événements soulève des interrogations sur la gestion de cette crise par la maison mère de WhatsApp. Les chercheurs autrichiens ont signalé la faille dès septembre 2024, mais leurs avertissements ont été écartés. Meta a classé ces alertes comme de simples « doublons » ou les a jugées « non pertinentes ». Ce n’est qu’après que les scientifiques ont évoqué la publication imminente de leurs travaux que l’entreprise américaine a décidé de communiquer sur le sujet.
Nitin Gupta, ingénieur en chef chez WhatsApp, a finalement pris la parole pour remercier les chercheurs viennois de leur « collaboration responsable ». Il reconnaît que leurs découvertes ont permis d’identifier une méthode de ciblage simultané de millions de numéros. L’ingénieur affirme toutefois qu’aucun élément ne démontre qu’une exploitation malveillante de cette vulnérabilité a eu lieu. Plusieurs mesures de protection auraient été déployées depuis lors, selon ses déclarations.
Cette révélation intervient à un moment où les questions de confidentialité numérique occupent une place centrale dans les débats publics. La capacité technique démontrée par les chercheurs viennois montre les défis auxquels sont confrontées les plateformes de communication, même celles qui revendiquent les standards de sécurité les plus élevés. L’incident rappelle que la protection des données personnelles reste un chantier permanent, nécessitant une vigilance constante de la part des éditeurs d’applications.
