- Des chercheurs viennois ont démontré le recensement massif des numéros sur WhatsApp à l'échelle mondiale.
- 3.500 milliards de numéros ont été obtenus, 57 % avec des photos de profil et 29 % avec des textes publics.
- Meta a mis en place des limitations de vitesse en octobre et affirme que le chiffrement des messages n'a pas été affecté.
- Ce risque inclut les escroqueries ciblées et l'exposition dans les pays où WhatsApp est interdit.
Une enquête universitaire a mis en lumière faille de sécurité dans le système de découverte des contacts WhatsApp, qui, lorsqu'il est exploité à grande échelle, Il permettait la vérification des numéros de téléphone et l'association massive de données de profil à ces derniers.Cette découverte explique comment un processus d'application de routine peut devenir, s'il est répété à un rythme industriel, une source d'exposition à l'information.
L'étude, menée par une équipe de l'Université de Vienne, a démontré qu'il était possible de vérifier l'existence de comptes pour des milliards de combinaisons de nombres via la version web, sans blocage effectif pendant des mois. Selon les auteurs, si ce processus n'avait pas été mené de manière responsable, nous parlerions de l'une des plus importantes fuites de données jamais documentées.
Comment l'écart s'est matérialisé : énumération de masse
Le problème ne résidait pas dans le décryptage, mais dans une faiblesse conceptuelle : outil de recherche de contacts Ce service permet aux utilisateurs de vérifier si un numéro de téléphone est enregistré ; la répétition automatique et à grande échelle de cette vérification a ouvert la voie au suivi global.
Les chercheurs autrichiens ont utilisé l'interface web pour tester en continu des nombres, atteignant un taux approximatif de 100 millions de chèques par heure sans limitation de vitesse effective durant la période analysée. Ce volume a rendu possible une extraction sans précédent.
Le résultat de l'expérience fut concluant : ils ont pu obtenir Numéros de téléphone de 3.500 milliards de comptes de whatsapp. De plus, ils ont pu associer des données de profil accessibles au public pour une partie importante de cet échantillon.
Plus précisément, l'équipe a noté que Les photos de profil ont été consultées dans 57 % des cas, et les textes de statut publics ou les informations supplémentaires dans 29 % des cas.Bien que ces champs dépendent de la configuration de chaque utilisateur, leur exposition à grande échelle amplifie le risque.
- 3.500 milliards de numéros vérifiés comme étant enregistrés sur WhatsApp.
- 57 % avec une photo de profil accessible au public.
- 29 % avec un texte de profil consultable.
Des avertissements antérieurs qui n'ont pas été pris en compte à temps
La faiblesse de l'énumération n'était pas entièrement nouvelle : déjà en 2017, le chercheur néerlandais Loran Kloeze Il a averti qu'il était possible d'automatiser la vérification des numéros et de les associer à des données visibles.Cet avertissement laissait présager la situation actuelle.
Les travaux récents de Vienne ont poussé cette idée à l'extrême et a montré que dépendance au numéro de téléphone L'utilisation d'un identifiant unique reste problématiqueComme le soulignent les auteurs, les chiffres Ils ne sont pas conçus pour servir de justificatifs d'identité secrets.Mais en pratique, ils remplissent ce rôle dans de nombreux services.
Une autre conclusion pertinente de l'étude est que la plupart des informations personnelles conservent leur valeur au fil du temps : L'équipe a constaté que 58 % des téléphones exposés lors de la fuite de données Facebook de 2021 étaient concernés. Ils sont toujours actifs sur WhatsApp aujourd'hui., ce qui facilite les corrélations et les campagnes persistantes.
Outre les chiffres, Le processus de requête en masse a permis de déduire certaines métadonnées techniques.Comme type de client ou de système d'exploitation l'employé et la présence de versions de bureau, ce qui augmente la surface de profilage.
Réponse de Meta : limitations de vitesse et position officielle
Los Investigadores Ils ont signalé cette découverte à Meta en avril et ont supprimé la base de données générée après l'avoir validée.L'entreprise, pour sa part, l'a mise en œuvre en octobre. des mesures de limitation de débit plus strictes bloquer le recensement à grande échelle via le web.
Dans des communiqués transmis à des médias spécialisés, Meta a exprimé sa gratitude pour la notification effectuée via son programme de récompenses de l'échec Il a souligné que les informations affichées correspondaient aux paramètres de visibilité définis par chaque utilisateur. Il a également déclaré n'avoir trouvé aucune preuve d'utilisation abusive de cette méthode.
L'entreprise a insisté sur le fait que Les messages sont restés protégés Grâce au chiffrement de bout en bout et à l'absence d'accès à des données non publiques, rien n'indiquait que le système cryptographique avait été compromis.
Après plusieurs réunions techniques, WhatsApp a récompensé la recherche par Dolaires 17.500Pour l'équipe, ce processus a permis de mesurer et de tester l'efficacité des nouvelles défenses déployées après la notification.
Risques réels : de la fraude au ciblage dans les pays où des interdictions sont en vigueur
Au-delà des aspects techniques, l'impact principal de cette exposition est d'ordre pratique. Avec un numéro de téléphone et des informations de profil visibles, les choses deviennent beaucoup plus simples. construire des campagnes d'ingénierie sociale et des escroqueries ciblées qui exploitent les informations contextuelles de chaque victime.
Les chercheurs ont également identifié des millions de comptes actifs dans des territoires où WhatsApp est interdit, tels que… Chine, Iran ou MyanmarLa visibilité de ces chiffres pourrait avoir des conséquences personnelles ou juridiques pour les utilisateurs dans des contextes de surveillance élevée.
La disponibilité massive de téléphones compatibles renforce le spam, doxxing et phishing avec un niveau de précision plus élevé, notamment lorsque la photo de profil ou le texte public fournissent des indices sur l'identité, l'emploi ou les réseaux sociaux liés.
Il convient de rappeler que, une fois ajoutées à d'immenses bases de données, les informations peuvent circuler pendant des années, se combinant à d'autres fuites. profils enrichis et accroître l'efficacité des attaques.
L'Europe et l'Espagne : pourquoi c'est important ici
En Espagne et dans le reste de l'UE, où WhatsApp est omniprésent, la diffusion d'informations à cette échelle est préoccupante. préoccupé par son impact potentiel sur des millions d'utilisateurs et d'entreprisesBien que Meta ait corrigé la méthode d'énumération, cet incident relance le débat sur une conception qui repose sur le numéro de téléphone.
Cette affaire, impliquant une équipe universitaire européenne, nous rappelle que même les fonctionnalités conçues pour plus de commodité, comme la recherche instantanée de contacts, Elles peuvent devenir des vecteurs de risque si elles ne disposent pas de défenses solides et vérifiées en permanence..
Cela souligne également la nécessité de configurer soigneusement les paramètres de confidentialité. Si la photo de profil ou le texte public révèle plus d'informations que nécessaire, leur diffusion à grande échelle devient un risque. multiplicateur de menace pour les utilisateurs privés et professionnels.
Pour les organisations et administrations européennes ayant des obligations en matière de sécurité, Limiter la visibilité des données et renforcer les procédures de vérification internes en dehors de l'application contribuent à réduire la surface d'attaque de campagnes d'usurpation d'identité ou de fraude.
Ce que vous pouvez faire dès maintenant
En l'absence d'un identifiant alternatif, La meilleure défense pour l'utilisateur implique ajuster les options confidentialité du profil et adopter des habitudes de communication prudentes.
- Limiter la photo de profil et les informations à « Mes contacts » ou « Personne ».
- Évitez d'inclure des données sensibles ou des liens personnels dans votre texte de statut..
- Méfiez-vous des messages inattendus, même s'ils affichent votre nom ou votre photo..
- Vérifiez toute demande urgente ou de paiement par un canal secondaire..
Bien que la voie spécifique pour le recensement de masse ait été fermée, cet épisode Des preuves montrent que la combinaison d'identifiants publics et de petites négligences dans les contrôles peut entraîner des expositions énormes.Limiter au minimum ce que les autres peuvent voir de votre compte restreint l'impact des futures techniques de récolte de données.
Des recherches autrichiennes ont montré que Une fonction commune pourrait être exploitée à l'échelle industrielle pour valider des milliards de nombres et leur associer des profils visibles.Meta a renforcé les limites et affirme qu'il n'existe aucune preuve d'abus, mais risques d'ingénierie socialeLes résultats obtenus dans les pays appliquant des interdictions et une persistance des données soulignent la nécessité de revoir la conception des systèmes basés sur les numéros de téléphone et d'encourager des pratiques de confidentialité plus strictes chez les utilisateurs européens.
Je suis un passionné de technologie qui a fait de ses intérêts de « geek » un métier. J'ai passé plus de 10 ans de ma vie à utiliser des technologies de pointe et à bricoler toutes sortes de programmes par pure curiosité. Aujourd'hui, je me spécialise dans l'informatique et les jeux vidéo. En effet, depuis plus de 5 ans, j'écris pour différents sites Web sur la technologie et les jeux vidéo, créant des articles qui cherchent à vous donner les informations dont vous avez besoin dans un langage compréhensible par tous.
Si vous avez des questions, mes connaissances s'étendent de tout ce qui concerne le système d'exploitation Windows ainsi qu'Android pour les téléphones mobiles. Et mon engagement est envers vous, je suis toujours prêt à consacrer quelques minutes et à vous aider à résoudre toutes les questions que vous pourriez avoir dans ce monde Internet.