Les chercheurs l’affirment : cela aurait pu être « la plus grande fuite de données de l’histoire, si elle n’avait pas été collectée dans le cadre d’une étude de recherche menée de manière responsable ». La faille concerne WhatsApp, cette messagerie instantanée devenue le réflexe de communication pour plus de 3,5 milliards de personnes à travers le monde.
Lors de son installation, l’application détenue par Meta demande l’accès à votre répertoire afin de déterminer lesquels de vos contacts sont « aussi sur WhatsApp ». Pratique, certes, mais cette fonctionnalité dissimule un mécanisme potentiellement dangereux.
C’est ce qu’ont mis en évidence des chercheurs autrichiens en décidant de « stresser » ce système et d’évaluer ce qu’il était réellement possible de collecter comme informations sensibles en répétant ce processus des milliers, des millions, voire des milliards de fois…
Leur étude, publiée le 19 novembre 2025 sur Github, souligne les manquements de WhatsApp dans la protection de ses utilisateurs. Une vulnérabilité qui avait pourtant été signalée à l’entreprise dès 2017 par un autre chercheur en cybersécurité.
Un mécanisme de protection simple aurait pu colmater la brèche
Le problème dans cette affaire, c’est que WhatsApp n’a pas limité la vitesse ni le nombre de requêtes de recherche de contacts que les chercheurs pouvaient effectuer via l’application web de la messagerie instantanée.
Habituellement, des barrières dites « rate-limiting » empêchent quiconque d’envoyer des milliers de requêtes à la chaîne. Or, ici, les scientifiques ont réussi à interroger plus de 100 millions de numéros de téléphone par heure, en toute discrétion, sans être bloqués, parvenant ainsi à recenser avec exactitude 3,5 milliards de comptes WhatsApp actifs, dont plus de 53 millions de comptes français.
Cette cartographie mondiale des utilisateurs leur a permis d’accéder à toutes les informations publiques associées à ces comptes. Ils révèlent avoir pu accéder à la photo de profil d’environ 57 % des utilisateurs et, pour 29 % d’entre eux, au texte de leur biographie. Une collecte qui soulève d’importantes questions de sécurité, bien au-delà du simple aspect volumétrique.
Des informations largement exploitables
En effet, les chercheurs soulignent les risques considérables qu’impliquerait la collecte de telles informations si elles étaient exploitées à des fins d’arnaque ou de surveillance.
L’automatisation d’un tel processus, sans limitation, permettrait de constituer ou d’actualiser d’immenses bases de données de numéros actifs, exploitables pour le spam, le phishing ou le harcèlement.
Et ce n’est pas tout, cette faille pourrait également servir à identifier des numéros actifs dans des zones où WhatsApp est interdit comme en Chine ou en Corée du Nord par exemple.
Enfin, cette technique rend possible l’agrégation, pour chaque compte WhatsApp public, de toutes les informations laissées visibles sur la plateforme. Cela inclut la photo de profil, mais aussi les textes du statut ou de la biographie, les pseudonymes, et parfois même les liens sociaux ou le numéro de téléphone associé. Recueillir en masse ces informations permettrait donc, pour un acteur malveillant, de dresser des profils détaillés des utilisateurs. On pourrait ainsi associer à chaque numéro des éléments d’identité, des cercles sociaux, mais aussi (si elles sont indiquées par l’utilisateur) des opinions politiques, des croyances religieuses ou une orientation sexuelle.
La faille a (enfin) été colmatée par Meta
Les chercheurs affirment avoir alerté Meta de leurs découvertes en avril et avoir supprimé leur copie des 3,5 milliards de numéros de téléphone.
Interrogé par le média américain Wired, Meta annonce avoir corrigé le problème en octobre, via la mise en place d’une limitation de requêtes plus stricte, empêchant ainsi la méthode de recherche de contacts à grande échelle utilisée par les chercheurs.
Par ailleurs, l’entreprise américaine affirme n’avoir trouvé aucune preuve d’exploitation de cette faille par des acteurs malveillants, et rappelle que les photos de profil et infos de biographie n’étaient pas accessibles aux utilisateurs les ayant rendues privées.
Il convient toutefois de rappeler que, par défaut, ces informations sont publiques dans les réglages de l’application.
Vous pouvez choisir manuellement qui a accès à votre photo de profil et à votre bio depuis les paramètres : rendez-vous dans « Confidentialité », puis sélectionnez l’audience souhaitée : « Tout le monde », « Mes contacts », « Mes contacts sauf… » ou « Personne ».
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Toute l'actu tech en un clin d'œil
Ajoutez Numerama à votre écran d'accueil et restez connectés au futur !
Pour ne rien manquer de l’actualité, suivez Numerama sur Google !