Lorsqu’un numéro qui n’est pas dans vos contacts vous appelle, l’un des moyens de connaître l’identité de la personne est de saisir son numéro dans WhatsApp. Si son propriétaire dispose d’un compte et a ajouté des informations, elles seront affichées, y compris sa photo.

Des chercheurs de l’université de Vienne, en Autriche, ont voulu savoir quelles étaient les limites de cette fonction, et ont découvert qu’il n’y en avait pas ! Ils ont réussi à passer au crible tous les numéros de téléphone possibles et à extraire une grande quantité d’informations, concernant 3,5 milliards de comptes ! Une faille de sécurité massive qui pourrait être exploitée à mauvais escient.

Des photos et des biographies exposées au monde entier

Les premières données sont les plus en évidence : les images de profil et le texte de la biographie. La bonne nouvelle est que ces informations ne sont accessibles que si leur niveau de confidentialité est réglé sur public. Toutefois, beaucoup d’utilisateurs oublient sans doute que ces données peuvent être visibles par d’autres personnes que leurs contacts, ou ne savent pas régler cette option.

Sur tous les comptes actifs, 57 % avaient une photo de profil, dont les deux tiers contenaient un visage humain ; et 29  % avaient ajouté une biographie qui peut potentiellement contenir des informations sensibles sur leur affiliation politique, leur sexualité, leur religion ou même l’utilisation de drogues. Certains ajoutent même un lien vers leur profil sur d’autres sites.

Pour être clair, l’accès à ces données n’est pas nouveau. Il a toujours été possible de saisir un numéro de téléphone et de voir les informations que son propriétaire partage de manière publique.

Les chercheurs ont ainsi testé 63 milliards de numéros, à raison de 7 000 numéros par seconde

Ce qui est problématique, c’est l’échelle de cette faille. Tester quelques dizaines ou centaines de numéros permet de cibler des individus, mais la portée est limitée. Pouvoir le faire sur des milliards de numéros permet une collecte de données à grande échelle, et de créer des bases de données contenant parfois des informations très personnelles. Les chercheurs ont ainsi testé 63 milliards de numéros, à raison de 7 000 numéros par seconde. À leur grande surprise, Meta n’a imposé aucune limite, ni bloqué leurs comptes ou adresse IP.

Une base de données d’une grande valeur

Mais les chercheurs ont aussi eu accès à d’autres données. Ils ont pu déterminer quels numéros étaient associés à un compte, même lorsque les utilisateurs ne partageaient aucune information publiquement, et ainsi confirmer un total de 3,5 milliards de comptes.

Malgré une interdiction dans certains pays comme la Chine, le Myanmar et la Corée du Nord, les chercheurs ont trouvé des millions de comptes actifs associés à des numéros de ces pays. Cette faille peut donc potentiellement mettre en danger ces utilisateurs si leur gouvernement décide de sévir. Dans les autres pays, une base de données des numéros actifs aurait une grande valeur, et pourrait être utilisée pour des appels indésirables…

Nitin Gupta, vice-président de l’ingénierie chez WhatsApp, a affirmé que l’entreprise a mis en place des défenses contre ce genre de pratique, que le contenu des messages n’a pas été exposé, et qu’il n’y avait aucune trace d’abus du système par des acteurs malveillants. Toutefois, les chercheurs ont indiqué qu’il leur a fallu un an avant d’obtenir une réponse de Meta…

En bref, même s’il est impossible de cacher le fait que votre numéro est associé à un compte WhatsApp, il est vivement conseillé de vous assurer que seuls vos contacts ont accès à vos informations de profil.