Publié le 19 novembre 2025 à 07h57. WhatsApp renforce sa sécurité face à une faille permettant l’extraction massive de données personnelles, et prépare l’introduction de noms d’utilisateur pour remplacer les numéros de téléphone comme identifiant principal.
- Une vulnérabilité a permis à des chercheurs d’extraire les numéros de téléphone de 3,5 milliards d’utilisateurs WhatsApp.
- Meta, la société mère de WhatsApp, a mis en place des limites de débit pour contrer cette exploitation de données.
- L’introduction prochaine des noms d’utilisateur vise à renforcer la confidentialité et à prévenir de futures fuites d’informations.
Des chercheurs autrichiens ont mis en lumière une faille de sécurité préoccupante dans WhatsApp, permettant l’extraction à grande échelle de données personnelles. En exploitant une faiblesse dans le système de découverte de contacts, ils ont réussi à récupérer les numéros de téléphone de 3,5 milliards d’utilisateurs de l’application de messagerie. Cette découverte, rapportée par Wired, soulève des questions sur la protection des données personnelles au sein de la plateforme.
La méthode utilisée par les chercheurs consistait à soumettre de manière automatisée des requêtes pour vérifier l’existence de numéros de téléphone. Ils ont pu ainsi obtenir non seulement les numéros, mais également, pour 57 % des utilisateurs, leurs photos de profil et, pour 29 % supplémentaires, le texte de leur statut. Cette vulnérabilité n’a pas été corrigée par Meta, malgré un signalement initial en 2017 par un autre chercheur en sécurité.
Meta a réagi en imposant des limites de débit, réduisant ainsi la vitesse à laquelle les requêtes peuvent être envoyées. Cependant, même avec ces restrictions, le risque de collecte massive de données demeure. C’est dans ce contexte que WhatsApp s’apprête à introduire l’utilisation de noms d’utilisateur comme identifiant principal, une mesure visant à renforcer la confidentialité et à limiter l’exposition des numéros de téléphone.
Il est important de noter que les informations accessibles via cette faille restent limitées aux données de profil publiques. Les utilisateurs peuvent également choisir de rendre leur profil privé pour une protection accrue. Meta affirme par ailleurs n’avoir détecté aucune preuve d’exploitation malveillante de cette vulnérabilité par des acteurs mal intentionnés, et rappelle que les messages des utilisateurs restent protégés par le cryptage de bout en bout.
« Nous sommes reconnaissants envers les chercheurs de l’Université de Vienne pour leur partenariat responsable et leur diligence dans le cadre de notre programme Bug Bounty. Cette collaboration a réussi à identifier une nouvelle technique d’énumération qui a dépassé nos limites prévues, permettant aux chercheurs de récupérer des informations de base accessibles au public. Nous avions déjà travaillé sur des systèmes anti-grattage de pointe, et cette étude a joué un rôle déterminant dans les tests de résistance et dans la confirmation de l’efficacité immédiate de ces nouvelles défenses. Il est important de noter que les chercheurs ont supprimé en toute sécurité les données collectées dans le cadre de l’étude, et nous n’avons trouvé aucune preuve d’acteurs malveillants abusant de ce vecteur. Pour rappel, les messages des utilisateurs restaient privés et sécurisés grâce au cryptage de bout en bout par défaut de WhatsApp, et aucune donnée non publique n’était accessible aux chercheurs. »
WhatsApp prévoit donc de mettre davantage l’accent sur l’utilisation des noms d’utilisateur à l’avenir, tout en continuant à surveiller et à contrer les abus liés à la correspondance des numéros de téléphone. Cette évolution vise à offrir une protection accrue aux utilisateurs et à répondre aux préoccupations croissantes concernant la confidentialité des données.
À ne pas manquer
