Une étude menée récemment par des chercheurs de l’Université de Vienne, en Autriche, révèle qu’une vulnérabilité ancienne du mécanisme de découverte de contacts de WhatsApp a permis d’exposer 3,5 milliards de numéros de téléphone dans le monde. Les auteurs montrent que cette faille, présente depuis 2017, offrait la possibilité de cartographier la quasi-totalité des utilisateurs de la messagerie et d’accéder aux données publiques de profil, relançant le débat sur la gouvernance de la sécurité au sein des grandes plateformes numériques.
L’affaire prend une dimension inattendue lorsque des chercheurs de l’Université de Vienne et du laboratoire SBA Research démontrent qu’il leur a suffi d’exploiter une faiblesse fondamentale du système de découverte de contacts de WhatsApp pour récupérer la quasi-totalité du répertoire mondial. En interrogeant massivement les serveurs, ils ont pu vérifier plus de 100 millions de numéros par heure et confirmer l’existence de 3,5 milliards de comptes actifs à travers l’ensemble des pays du monde. Les messages demeurent chiffrés, mais le numéro de téléphone, la photo de profil si elle était publique, le texte “À propos” et certains éléments techniques comme les clés publiques étaient accessibles sans obstacle. Pour une plateforme revendiquant plus de trois milliards d’utilisateurs, cela représente une extraction à l’échelle planétaire, inédite dans l’histoire des fuites de métadonnées.
