Pendant des années, WhatsApp a laissé les numéros de téléphone de ses utilisateurs ouverts aux personnes malveillantes afin qu'ils puissent y accéder facilement. Une étude menée par des chercheurs autrichiens a révélé que les numéros de téléphone d'environ 3,5 milliards d'utilisateurs peuvent être obtenus par une méthode très simple. Cette vulnérabilité a longtemps été ignorée par Meta, même si elle avait été remarquée il y a des années.
Les chercheurs ont réussi à obtenir ces informations en effectuant une analyse à très grande échelle sur WhatsApp Web sans appliquer de techniques de cyberattaque avancées. Profitant du fonctionnement du système, ils ont ajouté un par un des milliards de numéros de téléphone et observé si WhatsApp présentait automatiquement les profils d'utilisateurs. Grâce à cette méthode, il a été possible de comprendre si le numéro appartenait ou non au compte WhatsApp et de visualiser des informations telles que la photo de profil et le statut de l'utilisateur.
WhatsApp a été prévenu du problème il y a des années
La société mère de WhatsApp, Meta, a été avertie d'une vulnérabilité similaire par un autre chercheur en 2017. Cependant, une limitation efficace du système qui protégerait la sécurité des utilisateurs n'a pas été mise en œuvre avant longtemps. Après que des chercheurs autrichiens ont à nouveau signalé la situation en avril 2025, l’entreprise a progressivement introduit un système de « limitation des taux », seulement en octobre. Grâce à cette réglementation, il n'est plus possible d'interroger des millions de numéros par seconde via WhatsApp Web.
Cependant, jusqu'à la mise en œuvre de cette mesure de sécurité, la possibilité que des individus ou des groupes malveillants collectent des données à grande échelle à l'aide de cette méthode restait un risque sérieux. Selon l’étude, les photos de profil d’environ 57 % des utilisateurs de WhatsApp étaient également accessibles. De plus, les messages de statut de profil de 29 % étaient facilement visibles.
Dans sa déclaration à ce sujet, Meta a déclaré que toutes les informations consultées sont déjà publiques, en fonction des paramètres de confidentialité des utilisateurs. La société a déclaré que les photos de profil et les informations de statut ne sont visibles que dans les comptes laissés ouverts dans les paramètres de confidentialité. Meta a toutefois fait valoir que les chercheurs n’avaient accédé à aucune donnée privée ou confidentielle et qu’il n’existait à ce jour aucune preuve que cette méthode ait été utilisée par des acteurs malveillants.
Bien que les déclarations de Meta aient tenté d'apaiser les inquiétudes dans une certaine mesure, le fait que les informations de millions d'utilisateurs aient pu être systématiquement collectées pendant une longue période a conduit à remettre en question la compréhension de la plate-forme en matière de sécurité et de confidentialité. De telles fuites, qui fournissent des données de base notamment pour les activités de publicité, de phishing et de fraude, posent un sérieux problème en termes de pérennité de la sécurité numérique.
