Récemment, une énorme faille de sécurité sur WhatsApp a mis en lumière l’absence de protection des données des utilisateurs. En dépit d’une alerte reçue par Meta, la maison mère, en 2017, cette vulnérabilité n’a toujours pas été résolue. Ce problème a causé une exposition massive des numéros de téléphone de près de 3,5 milliards d’utilisateurs à travers le monde.
Une méthode d’exploitation alarmante
Des chercheurs en sécurité ont démontré qu’il suffisait d’un exploits simple pour extraire ces informations critiques. Selon eux, si des individus malveillants avaient utilisé cette faille, cela aurait entraîné la fuite de données la plus massive jamais enregistrée. C’est un constat inquiétant et révélateur de l’inefficacité des mesures de sécurité mises en place.
La gravité de cette défaillance est d’autant plus préoccupante que d’autres chercheurs avaient déjà signalé ce problème à Meta il y a maintenant plus de huit ans. Malheureusement, aucune mesure de protection adéquate n’a été mise en œuvre par l’entreprise durant tout ce temps.
La popularité de WhatsApp réside en partie dans la facilité avec laquelle on peut ajouter de nouveaux contacts. En entrant simplement un numéro de téléphone, l’application révèle instantanément la présence de la personne ainsi que son profil, sa photo et son nom.
Cette fonctionnalité, qui semble innocente au premier abord, est devenue un véritable piège. En répétant cette opération à plusieurs reprises avec tous les numéros possibles, il devient aisé d’obtenir les numéros des utilisateurs de WhatsApp du monde entier. En moins de trente minutes, les chercheurs de l’Université de Vienne ont pu récupérer les numéros de 30 millions d’utilisateurs américains.
Une réaction tardive de Meta
Les chercheurs ont agi de manière responsable en supprimant leur base de données et en alertant Meta. Toutefois, l’entreprise a mis près de six mois avant d’introduire une mesure limitant le nombre de vérifications de numéros, ce qui aurait pu prévenir une exploitation à grande échelle de cette faille.
WhatsApp a affirmé qu’elle travaillait déjà sur ce point, tout en précisant qu’aucune preuve d’une exploitation malveillante n’avait été trouvée. Cependant, le temps perdu pose la question de la diligence de Meta en matière de sécurité des données.
Ce cas soulève des inquiétudes majeures sur la façon dont les grandes entreprises technologiques gèrent les données personnelles de leurs utilisateurs. La confiance des clients en ces plateformes doit être restaurée, et cela passe par une vigilance constante et une réactivité rapide face aux vulnérabilités.