Publié le 20 novembre 2025 à 07h19 par Philippe

WhatsApp : une faille ignorée depuis huit ans a exposé 3,5 milliards de numéros de téléphone dans le monde

La messagerie de Meta traverse l’une des plus graves crises de sécurité de son histoire. Une équipe de chercheurs de l’université de Vienne et de SBA Research a révélé l’existence d’une vulnérabilité d’une ampleur inédite : 3,5 milliards de numéros de téléphone associés à des comptes WhatsApp ont pu être extraits, dans certains cas accompagnés de photos de profil et d’informations personnelles. Une fuite potentielle d’une ampleur telle que les chercheurs n’hésitent pas à parler de ce qui aurait pu devenir « la plus grande fuite de données de l’histoire ».

L’affaire est d’autant plus embarrassante qu’elle repose sur une faiblesse structurelle du service, signalée pour la première fois… en 2017. Pendant huit longues années, cette faille est restée accessible, sans véritable mesure de protection, jusqu’à sa correction partielle par Meta en octobre 2024.

Un siphonnage mondial rendu possible par une fonction basique de WhatsApp

À l’origine de l’affaire se trouve un mécanisme que des milliards d’utilisateurs emploient quotidiennement sans y réfléchir : la vérification automatique qu’un numéro de téléphone appartient à un compte WhatsApp, simple étape déclenchée lorsqu’un contact est ajouté dans l’application. Les chercheurs autrichiens ont compris qu’il était possible d’automatiser massivement ce processus, sans rencontrer la moindre limite technique. Leur méthode a consisté à envoyer des requêtes en continu pour tester toutes les séquences de numéros possibles.

Le résultat dépasse l’imagination : jusqu’à 100 millions de numéros vérifiés par heure, un rythme si élevé qu’il a permis de cartographier la quasi-totalité des comptes WhatsApp existants. En une trentaine de minutes, 30 millions de numéros américains avaient déjà été confirmés. En poursuivant l’opération, l’équipe a fini par obtenir un tableau mondial des utilisateurs, des États-Unis à l’Inde, en passant par l’Europe et l’Asie du Sud-Est.

Outre la confirmation de l’existence de chaque numéro, l’attaque donnait accès à la photo de profil de 57 % des utilisateurs, ainsi qu’au texte descriptif pour près d’un tiers d’entre eux. En France, 54 millions de numéros ont pu être récupérés. À l’échelle mondiale, l’Inde et l’Indonésie arrivent largement en tête avec près d’un milliard de numéros cumulés.

Une vulnérabilité connue depuis 2017 mais longtemps minimisée

La découverte de l’université de Vienne ne sort pas de nulle part. Dès 2017, le chercheur néerlandais Loran Kloeze avait signalé l’absence de limites sur la vérification des numéros, mais Meta avait rejeté l’alerte. La société estimait alors que les paramètres de confidentialité offraient aux utilisateurs suffisamment de contrôle sur la visibilité de leurs informations. Autrement dit, si un utilisateur décidait d’afficher sa photo de profil publiquement, cela ne relevait pas d’un problème de sécurité interne.

Le rapport publié aujourd’hui montre que cet argument ignorait totalement la dimension systémique du problème : aucune plateforme moderne ne devrait permettre à une source unique d’envoyer un volume illimité de requêtes en un temps aussi court. Au-delà d’un défaut, c’est une faille architecturale qui s’est installée au cœur du fonctionnement de WhatsApp, en laissant le numéro de téléphone fonctionner comme identifiant public.

Cette inertie explique pourquoi la plateforme est restée vulnérable pendant huit ans. Selon les chercheurs, la faille était bel et bien exploitable dès 2017. Meta, avertie en avril 2024 après la découverte autrichienne, n’a déployé de limites strictes qu’en octobre 2024.

Des risques allant bien au-delà du simple spam

Si cette base de données mondiale était tombée entre de mauvaises mains, les conséquences auraient été catastrophiques. La détention simultanée de numéros de téléphone, de photos et d’informations personnelles ouvre la voie à des campagnes de phishing hyper-spécifiques, au harcèlement, ou encore à des opérations de manipulation à grande échelle.

Mais l’étude publiée par l’université de Vienne soulève un autre problème, peut-être plus sournois encore : l’existence de clés de chiffrement identiques entre différents comptes, une anomalie théoriquement impossible dans le fonctionnement classique de WhatsApp. Les chercheurs estiment que ces duplications proviennent d’utilisateurs ayant recours à des applications WhatsApp modifiées, souvent distribuées hors des canaux officiels. Les 2,3 millions de numéros chinois retrouvés dans les données alors que WhatsApp est interdit en Chine, confirment l’existence d’un écosystème parallèle de clients tiers, potentiellement compromis, où les risques d’espionnage sont majeurs.

Dans un pays comme la Chine, où certaines populations ont déjà été arrêtées pour la simple installation de WhatsApp, la présence de ces comptes laisse craindre que des outils de surveillance puissent exploiter des erreurs de chiffrement pour intercepter des conversations privées.

Meta minimise mais accélère l’introduction de l’identifiant par pseudonyme

Face à l’ampleur des révélations, Meta assure n’avoir trouvé « aucune trace d’exploitation malveillante ». L’entreprise affirme également qu’elle travaillait déjà sur un système de défense plus robuste et que l’étude a permis de valider l’efficacité des nouvelles protections. Les données obtenues par les chercheurs, archivées temporairement à des fins scientifiques, ont été supprimées.

Mais l’affaire remet en lumière une faiblesse structurelle : le numéro de téléphone n’est pas un identifiant anodin. Sa sensibilité est bien plus élevée qu’un pseudonyme ou une adresse mail, puisqu’il est stable, personnel et difficile à changer. WhatsApp dépend pourtant entièrement de cette information pour reconnaître et connecter ses utilisateurs.

Meta teste désormais un système d’identification par pseudonyme, qui pourrait remplacer à terme le numéro de téléphone pour les interactions publiques. Une évolution qui, si elle se confirme, changerait profondément le fonctionnement de la messagerie.

Une faille colossale qui interroge la politique de sécurité de WhatsApp

L’efficacité de l’attaque démontre une réalité troublante : la messagerie la plus populaire du monde, forte de plus de 3 milliards d’utilisateurs, reposait depuis huit ans sur un mécanisme vulnérable à une attaque triviale, non pas en raison d’une brèche technique sophistiquée, mais à cause d’une absence de limitation.

Ce n’est pas un bug qui a exposé 3,5 milliards d’utilisateurs, mais une architecture pensée pour la facilité d’usage plutôt que pour la sécurité. La simplicité qui a fait le succès de WhatsApp, c’est-à-dire le fait qu’un numéro ajouté devienne automatiquement un contact disponible, s’est finalement transformée en faille mondiale.

Cette affaire, documentée scientifiquement dans l’étude “Hey there! You are using WhatsApp!” publiée sur GitHub par les chercheurs de l’université de Vienne et SBA Research, marque l’un des épisodes les plus sérieux de la cybersécurité récente. Elle pose une question essentielle : peut-on encore bâtir une messagerie mondiale sur un identifiant aussi sensible qu’un numéro de téléphone ?

~~~~~~~~

A lire aussi