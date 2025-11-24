Des chercheurs de l’université de Vienne ont révélé une faille critique dans WhatsApp, qui a exposé les numéros de téléphone de 3,5 milliards d’utilisateurs dans le monde. Meta affirme avoir corrigé la vulnérabilité en octobre dernier, mais l’affaire met en lumière un problème structurel majeur : l’utilisation du numéro de téléphone comme identifiant public.

L’exploitation de cette faille était étonnamment simple. En utilisant la fonctionnalité de vérification de numéro, les chercheurs ont pu automatiser des requêtes massives, testant jusqu’à 100 millions de numéros par heure sans rencontrer de blocages. Cette méthode permettait non seulement de confirmer l’existence d’un compte, mais aussi de récupérer la photo de profil pour 57 % des utilisateurs et leur description personnalisée.

54 millions de numéros exposés en France

Les chiffres sont impressionnants par pays. L’Inde compte 749 millions de numéros exposés, l’Indonésie 235 millions et la France 54 millions. Les chercheurs soulignent que cela aurait pu devenir « la plus grande fuite de données de l’histoire ».

Ce problème n’est pas récent. Détecté dès 2017 par le chercheur Loran Kloeze, il avait été minimisé par WhatsApp, qui se contentait de rappeler les paramètres de confidentialité aux utilisateurs. Pendant sept ans, la porte est restée ouverte au siphonnage de données.

L’étude pointe également des anomalies de sécurité plus graves, notamment des clés de chiffrement identiques entre plusieurs comptes, souvent dues à l’usage d’applications WhatsApp non officielles. La présence de 2,3 millions de numéros chinois dans les bases de données, alors que l’application est interdite en Chine, confirme l’usage massif de ces clients tiers.

Face à ces risques systémiques, Meta accélère désormais le déploiement de l’identification par pseudo, actuellement en phase de test. Cette mesure vise à réduire la dépendance au numéro de téléphone et à renforcer la confidentialité des utilisateurs, tout en répondant aux vulnérabilités historiques de la plateforme.