Une récente analyse a mis en lumière une faille potentielle de sécurité sur une application de messagerie populaire. Bien que l’accès aux données privées n’ait pas été compromis, des méthodes exploitant certaines vulnérabilités ont permis de rassembler des millions de numéros de téléphone, soulevant des préoccupations quant à la confidentialité des utilisateurs.
La plateforme de messagerie a pris la parole pour préciser qu’il n’y a pas eu accès à des données privées, à des serveurs internes, ni présence d’activité malveillante, mais plutôt une détection précoce d’une faille de sécurité sur WhatsApp.
Que s’est-il passé avec WhatsApp ?
Un groupe de chercheurs de l’Université de Vienne a réussi à rassembler 3,5 milliards de numéros en utilisant une technique d’énumération basée sur la fonction de recherche de contacts et le système “Click to Chat”. Ce n’était pas une attaque interne, mais une manière d’automatiser des requêtes exploitant certains paramètres mal configurés.
Les informations étaient publiques sous certaines conditions, mais recueillies à une échelle suffisamment grande pour provoquer des inquiétudes. Le problème réside dans la mécanique de “Click to Chat”, qui permet de commencer des conversations sans enregistrer un numéro. En générant ces liens, certaines informations associées au profil pouvaient se retrouver exposées dans des URLs indexées par certains moteurs de recherche.
Cela rendait possible le suivi de numéros, photos de profil et noms si l’on savait où chercher. Il ne s’agissait pas d’une fuite interne, mais d’un design facilitant la collecte massive.
Le fait qu’un groupe académique puisse rassembler des milliards de numéros signifie qu’un groupe de cybercriminels, spécialisé dans ces activités, pourrait également le faire. Avoir accès à des bases de données aussi volumineuses ouvre la voie à des spams, tentatives de phishing ou usurpations qui exploitent la familiarité que génère WhatsApp.
Réponse de Meta
Meta a rapidement nié qu’il y ait eu une fuite mondiale, précisant que tout fait partie de son programme de récompenses pour erreurs. La recherche était apparemment un processus collaboratif et les chercheurs n’ont pas eu accès à des données privées.
Les informations recueillies ont été utilisées pour détecter des failles de sécurité et agir en conséquence. De plus, Meta rappelle que les conversations sur WhatsApp restent protégées par un cryptage de bout en bout et que l’étude a permis de valider les défenses anti-scraping en cours de développement.
@Pirat_Nation Cela est trompeur – il n’y a pas eu de fuite de données ni de faille de sécurité. Ce sont les résultats d’une recherche académique sur laquelle WhatsApp a collaboré via notre programme de Bug Bounty pour identifier efficacement et atténuer les potentielles failles face à de nouvelles méthodes d’énumération/extraction.
Aucune donnée non publique
19 novembre 2025 • 20:41
Nitin Gupta, vice-président de l’ingénierie de WhatsApp, a expliqué que la technique utilisée avait dépassé certains seuils prévus pour éviter les énumérations massives. Cette découverte a permis de renforcer ces défenses immédiatement, prouvant qu’il n’y avait pas de porte ouverte vers des données internes ni de risque réel pour les conversations privées, mais un fonctionnement inattendu d’un outil de la plateforme.
Cependant, il ne faut pas se sentir en sécurité car il ne s’agit pas d’une porte dérobée représentant une faille de sécurité, ou d’un simple comportement imprévu dans des fonctionnalités existantes depuis des années. Le risque demeure évident. Au moins, il est réconfortant de voir comment les entreprises s’efforcent de le minimiser à travers ce type d’initiative.