Une équipe de chercheurs autrichiens a mis en évidence une vulnérabilité d’une ampleur inédite dans WhatsApp. Leur investigation a conduit à l’extraction de 3,5 milliards de numéros de téléphone, révélant à quel point le système de découverte de contacts de la plateforme peut servir de porte d’entrée à une collecte massive de données.

Le procédé exploitait un mécanisme simple. En testant des numéros par séries entières, WhatsApp indiquait automatiquement lesquels correspondaient à un compte actif. L’opération, réalisée à travers l’interface Web, a permis de vérifier des centaines de millions de numéros chaque heure. Dans de nombreux cas, la photo de profil et le statut de l’utilisateur apparaissaient également.

Cette faiblesse, soulignent les chercheurs, était pourtant connue depuis longtemps. Un premier signalement avait été adressé à Meta dès 2017, sans qu’aucune restriction ne vienne limiter le nombre de requêtes ou sécuriser ce système de correspondance. La négligence dénoncée aujourd’hui s’appuie précisément sur cette absence de réaction.

Si l’équipe à l’origine de la découverte assure avoir supprimé l’ensemble des données collectées, elle estime que peu de fuites documentées atteignent une telle échelle. Les chercheurs ont informé Meta en avril. Une mise à jour a été déployée en octobre pour réduire le volume de requêtes possibles, accompagnée d’une récompense à travers le programme Bug Bounty de l’entreprise. Meta a toutefois minimisé la portée de l’affaire, évoquant des informations « publiques ».

Cette révélation remet en question la gestion de la confidentialité dans l’une des applications les plus utilisées au monde et pose, une fois de plus, la question de l’équilibre entre simplicité d’usage et protection des données personnelles.