Des chercheurs en sécurité ont découvert une faille béante dans WhatsApp exposant plus de 3 milliards d'utilisateurs de l'application, en dévoilant leurs numéros de téléphone et même leurs noms. Meta la connaissait depuis des années…

Les développeurs d'applications et les hackers sont sans cesse en train de faire la course afin de trouver une éventuelle faille dans les API : les uns pour les corriger, les autres pour les exploiter. Et, parfois, les manœuvres les plus simples sont les meilleures. Comme le rapporte Wired, des chercheurs autrichiens ont en découvert une immense qui leur a permis d'extraire quelque 3,5 milliards de numéros de téléphone d'utilisateurs de WhatsApp.

"À notre connaissance, il s'agit de l'exposition la plus étendue de numéros de téléphone et de données associées jamais documentée", a indiqué Aljosha Judmayer, un des chercheurs à l'origine de cette découverte. Le pire, c'est que cette vulnérabilité avait déjà été signalée à Meta en 2017, soit il y a plus de huit ans, et qu'elle repose sur une fonction tout ce qu'il y a de plus basique, à savoir la vérification automatique de présence d'un contact sur le service de messagerie.

Faille WhatsApp : une attaque d'une simplicité infantile

Le procédé est d'une simplicité désarmante. Lorsqu'un utilisateur ajoute un numéro de téléphone à ses contacts, l'application vérifie tout de suite s'il correspond à un compte actif sur la messagerie et affiche généralement la photo de profil et le nom associé. Or, il suffit de tester tous les numéros possibles via l'application Web de WhatsApp, qui ne possédait jusqu'ici aucune limitation stricte, pour obtenir des données associées. Les chercheurs ont automatisé le processus, ce qui leur a permis de vérifier cent millions de numéros par heure.

Au total, les chercheurs en cybersécurité sont parvenus à extraire les numéros de téléphone de 3,5 milliards d'utilisateurs du service de messagerie et à obtenir leur nom. Environ 57 % d'entre eux ont également permis d'accéder à leurs photos de profil, et pour 29 % à leur statut.

Le problème, c'est que cette faille de sécurité était connue de Meta depuis longtemps. Dès 2017, un autre spécialiste avait déjà alerté l'entreprise sur la possibilité d'extraire des données via cette technique. Malgré cet avertissement, elle n'a manifestement jamais jugé nécessaire de revoir son système.

Heureusement, cette attaque n'a pas été menée par des cybercriminels, mais par des chercheurs pleins de bonnes attentions. Ces derniers ont depuis supprimé les 3,5 milliards de numéros de téléphone et autres informations extraites et ont averti Meta de leur découverte en avril dernier. Il aura tout de même fallu six mois au géant des réseaux sociaux pour définir une limitation du nombre de requêtes qu'il est possible de soumettre pour rechercher un contact par le biais d'une mise à jour. Et, s'il a tout de même pris soin de récompenser l'équipe de chercheurs autrichienne via son programme Bug Bounty, il a toutefois tenté de minimiser la gravité des faits, estimant qu'il ne s'agissait là que "d'informations publiques basiques". Mais quand même...