Une faille de sécurité majeure a été découverte sur WhatsApp, exposant les numéros de téléphone de près de 3,5 milliards d'utilisateurs à travers le monde. Plus alarmant encore, cette faille avait été identifiée et signalée à Meta, la société mère de WhatsApp, dès 2017. La découverte a été faite par des chercheurs en sécurité qui ont réussi à accéder à ces numéros de téléphone grâce à une exploitation simple, révélant ainsi une grave lacune dans la protection de la vie privée de la plateforme.

Les chercheurs ont indiqué que cette faille aurait pu entraîner l'une des plus importantes fuites de données de l'histoire si elle avait été exploitée par des personnes malveillantes. Étonnamment, malgré des alertes précoces, Meta n'a mis en œuvre les mesures nécessaires pour corriger cette vulnérabilité que récemment, alors même que la solution requise était relativement simple.

L'un des principaux atouts de WhatsApp réside dans sa simplicité d'utilisation : la saisie d'un numéro de téléphone permet de savoir si le contact utilise l'application, souvent accompagné de la photo de profil et du nom de l'utilisateur. Cependant, cette fonctionnalité constitue également une faille de sécurité que les pirates informatiques peuvent exploiter en vérifiant séquentiellement tous les numéros de téléphone possibles. La découverte initiale de cette faille remonte à plus de huit ans, lorsqu'un chercheur a constaté l'absence de limite au nombre de vérifications autorisées. Cette négligence a permis la collecte automatisée de données à une échelle considérable.

Récemment, des chercheurs de l'Université de Vienne ont reproduit cette technique, récupérant une quantité considérable de numéros de téléphone, dont 30 millions rien qu'aux États-Unis en seulement trente minutes. L'ampleur de cette fuite de données est sans précédent, comme l'a indiqué Aljosha Judmayer, l'un des chercheurs impliqués. Après avoir confirmé la vulnérabilité, l'équipe a soigneusement supprimé toutes les données et a informé Meta de ses découvertes.

Meta a depuis mis en place une mesure de limitation du débit, affirmant qu'aucun élément ne prouve que cette faille ait été exploitée par des personnes malveillantes. L'entreprise indique qu'elle travaillait déjà à la résolution du problème lorsqu'elle a été informée par les chercheurs.

Cet incident souligne l'impérieuse nécessité d'une vigilance accrue et d'une réaction rapide en matière de cybersécurité. Négliger de telles vulnérabilités, même lorsqu'elles sont reconnues en interne, peut entraîner des violations massives aux conséquences considérables. À mesure que les plateformes numériques occupent une place de plus en plus centrale dans les communications personnelles et professionnelles, des mécanismes de sécurité robustes et la correction rapide des vulnérabilités identifiées sont essentiels pour protéger les données des utilisateurs et préserver la confiance.