Une faille WhatsApp rend vulnérable des millions de numéros suisses

Lors de sa création en 2009, WhatsApp a fait de la protection des données et du chiffrement de bout en bout sa signature. Depuis le rachat de la messagerie instantanée en 2014 par Meta, la promesse s'est vidée de son sens au rythme des scandales. Le dernier en date en est une bonne illustration. Des chercheurs de l'Université de Vienne ont publié une étude dans laquelle ils montrent comment une faille sécuritaire de l'application leur a permis d'enregistrer les données de 3,5 milliards de comptes WhatsApp, dont 8,5 millions sont suisses.

Peu de garde-fous

Avant de lancer une conversation, les utilisateurs doivent vérifier si le numéro de leur destinataire est lié à un profil WhatsApp. Le cas échéant, un petit «vu» confirme l'existence du compte et la discussion peut débuter. Les chercheurs ont automatisé cette démarche en contrôlant près de 100 millions de numéros par heure, jusqu'à atteindre les 3,5 milliards de profils vérifiés. En théorie, l'application ne devrait pas permettre une telle agrégation de données sur un laps de temps aussi court.

«Dans notre étude, nous avons pu tester plus de cent millions de numéros de téléphone par heure sans rencontrer de blocage ni de limitation efficace du débit, notent les chercheurs. Nos conclusions démontrent non seulement la persistance, mais aussi la gravité de cette vulnérabilité. Nous révélons, en outre, que près de la moitié des numéros de téléphone divulgués dans la fuite de données Facebook de 2021 sont toujours actifs sur WhatsApp, soulignant les risques persistants associés à de telles expositions.»

Certes, le chiffrement de bout en bout a empêché l'accès aux messages privés des utilisateurs. Mais cette faille a ouvert une fenêtre sur une quantité impressionnante de métadonnées comprenant photos de profil, statuts, description, appareils connectés au compte, données de connexion...

Questions sécuritaires

Qui pense n'avoir rien à cacher serait tenté de déduire que ces fuites sont anodines. Pourtant, la divulgation de ces informations sensibles posent des questions de sécurité brûlantes. Ces éléments alimentent les tentatives d'arnaque, d'usurpation d'identité ou de démarchage abusif. Recoupées à d'autres informations disponibles librement ou sur le dark web, les données établissent des profils dignes d'une précision chirurgicale, trahissant des pans intimes de la vie privée.

Les risques pour l'intégrité physique sont non-négligeables. Parmi le panel de comptes se trouvent des profils enregistrés dans des pays interdisant WhatsApp (Iran, Corée du Nord, Chine). Les utilisateurs de la messagerie au sein de ces frontières encourent des risques considérables comme des peines de prison. En outre, «plus de la moitié des numéros de téléphone ayant précédemment fuité sont restés actifs même six ans après avoir été extraits de la plateforme».

Adopter des pratiques saines

L'étude a identifié environ 8,5 millions de numéros suisses. Il est primordial de tirer des leçons de ces fuites et de modifier ses réglages de sécurité en conséquence. «Choisissez qui peut voir votre présence en ligne en direct (et en différé), votre photo de profil, vos informations ou encore les liens qui figurent dans votre profil, tout comme votre statut. Il est conseillé de réserver toutes ces informations à vos contacts uniquement», préconise le journaliste Anouch Seydtaghia. Il conseille également d'activer la vérification en deux étapes en créant un code PIN pour l'application et d'enregistrer une adresse e-mail de récupération.