Une faille de sécurité découverte dans WhatsApp

 (univie.ac.at)
1 points par GN⁺ 2025-11-22 | 1 commentaires | Partager sur WhatsApp
  • Des chercheurs de l’Université de Vienne en Autriche et de SBA Research ont découvert une faille majeure de confidentialité dans le mécanisme de recherche de contacts de WhatsApp, permettant d’énumérer 3,5 milliards de comptes
  • Les chercheurs ont démontré qu’il était possible de consulter plus de 100 millions de numéros de téléphone par heure, et Meta a corrigé le problème en collaboration avec eux
  • Les données pouvant être collectées incluent les numéros de téléphone, les clés publiques, les horodatages et les informations de profil rendues publiques, ce qui permet d’inférer le système d’exploitation, l’ancienneté du compte et le nombre d’appareils connectés
  • L’analyse montre que des millions de comptes actifs existent même dans des pays où WhatsApp est interdit (Chine, Iran, Myanmar, etc.), et confirme une répartition mondiale de 81 % Android contre 19 % iOS
  • Cette étude montre que l’analyse des seules métadonnées suffit à créer un risque d’exposition des données personnelles et souligne l’importance d’une recherche en sécurité continue et indépendante

Découverte d’une faille dans la recherche de contacts de WhatsApp

  • Les chercheurs ont confirmé que la fonction contact discovery de WhatsApp, qui permet de trouver d’autres utilisateurs à partir du carnet d’adresses, pouvait être exploitée pour interroger plus de 100 millions de numéros de téléphone par heure
    • Cela a permis d’identifier plus de 3,5 milliards de comptes actifs dans 245 pays
    • Le fait qu’un si grand nombre de requêtes ait pu être traité depuis une source unique est considéré comme la mise en évidence d’un défaut de conception du système
  • Les données accessibles comprenaient les numéros de téléphone, les clés publiques, les horodatages, les photos de profil publiques et les descriptions, ce qui permettait d’inférer le type de système d’exploitation, la date de création du compte et le nombre d’appareils liés

Principaux résultats de l’étude

  • Des millions de comptes actifs existent même dans des pays où WhatsApp est officiellement interdit (Chine, Iran, Myanmar)
  • La répartition mondiale des terminaux s’établit à 81 % Android et 19 % iOS, avec des différences selon les régions dans les comportements de divulgation d’informations personnelles (par exemple, visibilité de la photo de profil ou usage de la description)
  • Dans certains cas, une réutilisation de clés cryptographiques a été observée, ce qui suggère l’utilisation possible de clients non officiels ou frauduleux
  • Parmi les 500 millions de numéros de téléphone inclus dans la fuite de données Facebook de 2021, environ la moitié étaient toujours actifs sur WhatsApp
    • Cela signifie que les numéros compromis restent exposés à des préjudices secondaires, comme des appels frauduleux

Traitement des données et impact sur la sécurité

  • Au cours de l’étude, le contenu des messages n’a pas été consulté, et toutes les données collectées ont été supprimées avant publication
  • Le chiffrement de bout en bout (end-to-end encryption) de WhatsApp protège le contenu des messages, mais les métadonnées ne sont pas couvertes par cette protection
  • Les chercheurs ont confirmé que la collecte et l’analyse massives des seules métadonnées peuvent déjà entraîner des atteintes à la vie privée

Coopération avec Meta et mesures de réponse

  • L’étude a été menée selon les principes de la divulgation responsable (responsible disclosure), et les résultats ont été signalés immédiatement à Meta
  • Meta a ensuite mis en place des contre-mesures, notamment la limitation du débit des requêtes (rate-limiting) et un renforcement de l’accès aux informations de profil
  • Meta a remercié les chercheurs pour leur collaboration et reconnu qu’une nouvelle technique d’énumération (enumeration) dépassait les limites des défenses existantes
    • Les résultats ont également contribué à valider l’efficacité de ses propres systèmes anti-scraping
    • Aucun cas d’abus malveillant n’a été détecté, et les messages des utilisateurs sont restés protégés en toute sécurité

Contexte de la recherche et travaux connexes

  • Cet article constitue la troisième étude sur la sécurité des messageries menée par l’Université de Vienne et SBA Research, analysant les possibilités d’exposition de données personnelles liées à la conception et à l’implémentation de WhatsApp et Signal
  • Études précédentes :
    • “Careless Whisper” (RAID 2025) : a démontré qu’il était possible d’inférer les habitudes d’activité des utilisateurs via les accusés de réception silencieux (silent delivery receipts) de WhatsApp
    • “Prekey Pogo” (USENIX WOOT 2025) : a analysé des faiblesses d’implémentation dans le mécanisme de distribution des prekeys de WhatsApp
  • Cette nouvelle étude, “Hey there! You are using WhatsApp: Enumerating Three Billion Accounts for Security and Privacy”, prolonge cette série de travaux en démontrant concrètement la possibilité d’énumérer des utilisateurs à l’échelle mondiale
    • Les résultats seront présentés à la conférence NDSS 2026

Importance de l’étude

  • Les chercheurs soulignent que même des systèmes matures peuvent comporter des défauts de conception, et insistent sur la nécessité de réévaluer en continu la sécurité et la vie privée
  • Ils avancent qu’une coopération transparente entre le monde académique et l’industrie est essentielle pour protéger les utilisateurs et prévenir les abus
  • Cette étude fournit une base pour comprendre sur le long terme l’évolution des systèmes de messagerie et l’émergence de nouveaux points de risque

À lire aussi

1 commentaires

 
GN⁺ 2025-11-22
Avis Hacker News
  • Le timing tombe à pic. Nous avons récemment publié une RFC sur la méthode de correspondance des contacts. Cette approche est résistante aux attaques par énumération, mais réduit d’autant la découvrabilité. Nous recueillons des retours en ce moment, donc n’hésitez pas à y jeter un œil — Contact Import RFC
    • J’ai travaillé sur un problème similaire et je me suis penché sur le Private Set Intersection (lien Wikipédia). C’est lié aux Zero Knowledge Proofs et cela permet d’empêcher l’attaque à la source sans partager les numéros de téléphone en clair. Cela dit, cette approche est peut-être excessive et peut avoir des limites de passage à l’échelle avec la technologie actuelle
    • La RFC traite de la sécurité, mais ne mentionne pas la vie privée. Au final, cela reste une architecture où il faut faire confiance au serveur ou à l’instance. Utiliser des hachages au lieu des vrais numéros serait bien, mais cela rendrait la vérification des numéros impossible et compliquerait la prévention du spoofing. On pourrait aussi imaginer qu’un tiers de confiance comme l’EFF ou Let’s Encrypt vérifie les numéros, puis que l’application ne récupère que les hachages
    • Content que tu soulèves ce sujet au bon moment. Mon appli va bientôt ajouter la synchronisation des contacts, donc je réfléchis à l’équilibre entre sécurité et vie privée. Je me demande d’ailleurs si vous prévoyez de publier cette RFC en open source
  • Le passage cité dans l’article est intéressant. Parmi les 500 millions de numéros de téléphone exposés lors de la fuite de données Facebook de 2021, la moitié étaient encore actifs sur WhatsApp. Cela montre que des numéros compromis peuvent rester exposés pendant des années aux appels spam ou aux arnaques. On dirait que la « demi-vie » d’un numéro de téléphone est d’environ 4 à 5 ans
    • Je suis toujours surpris de voir que les Américains gardent à l’âge adulte le numéro qu’ils ont reçu enfants. Moi, avant, je changeais de numéro tous les ans
  • Cette vulnérabilité venait d’un endpoint qui permettait de vérifier si un numéro de téléphone donné était lié à un compte WhatsApp. On pouvait interroger presque n’importe quel numéro, mais ça ne me semble pas être une faille majeure
    • Mais je me demande pourquoi il est possible de vérifier l’existence d’un compte via un numéro de téléphone. Pour une adresse e-mail, ce type de vérification est considéré comme une atteinte à la vie privée ; je ne comprends pas pourquoi les numéros de téléphone feraient exception
    • Ces derniers temps, je reçois beaucoup de SMS de phishing avec des noms du type « WatApp » ou « whtas app ». Ce genre de fuite semble avoir amélioré l’efficacité des attaques. Comme ces messages arrivent sans numéro d’expéditeur, ils sont difficiles à bloquer
    • En réalité, pour quelqu’un comme moi, c’est une fonction pratique. Je prends le numéro d’un plombier trouvé sur internet, je le saisis dans WhatsApp, et s’il a un profil je lui envoie directement un message ; sinon je l’appelle ou je lui envoie un SMS
  • Ce n’est pas tant une grosse fuite qu’un cas où des utilisateurs avaient créé un profil public consultable par numéro. Les chercheurs n’ont fait que tester des numéros au hasard pour collecter des informations publiques ; ce n’était pas des données privées. Facebook n’avait pas mis de rate limit, ce qui a permis une collecte à grande échelle, mais les informations étaient de toute façon publiques. Si des données sensibles figuraient sur un profil public, c’était un choix de l’utilisateur
  • C’est l’une des choses les plus regrettables qui soient arrivées. L’humanité avait une chance d’avoir la messagerie privée la plus populaire, mais en 2014 les 19 milliards de dollars ont aveuglé Brian Acton. Ce qu’il fait aujourd’hui chez Signal ne suffira pas à racheter la vente de la confiance de milliards d’utilisateurs
    • L’UE aurait dû bloquer cette opération. Une entreprise sans modèle économique n’avait aucun sens à 19 milliards de dollars de valorisation, et ce que Facebook visait, c’étaient les données des utilisateurs. À la place, on a l’impression qu’ils se sont contentés d’imposer l’USB-C, ce qui est assez décevant
  • Ce n’est qu’un problème d’énumération de numéros de téléphone. Ce n’est pas un bug de code mais une fonctionnalité explicite, donc c’est discutable de parler de « vulnérabilité de sécurité »
    • En revanche, un endpoint sensible sans aucune limitation de débit peut tout à fait être considéré comme une faille
    • Pouvoir vérifier l’existence d’un compte, même pour un seul numéro, constitue déjà une atteinte à la vie privée. Si le service concerné est inapproprié ou sensible, découvrir une inscription à partir du seul numéro peut être un problème grave. Le fait qu’on puisse automatiser cela pour faire du profilage est particulièrement inquiétant
    • Le fait qu’on ait pu atteindre quelque chose comme 100 millions de requêtes par seconde, c’est vraiment absurde
  • Ce matin, j’ai soudain découvert que j’avais été déconnecté de WhatsApp. J’ai essayé de me reconnecter, mais je n’ai pas reçu le SMS de vérification ; heureusement, j’ai pu récupérer un code via l’option « appel téléphonique ». Mais comme je n’avais pas configuré de code PIN 2FA, la récupération a été bloquée, et je n’avais pas non plus configuré de récupération par e-mail. Je suis maintenant dans une attente de 7 jours. Je trouve étrange de ne pas pouvoir récupérer mon compte alors que le numéro m’appartient toujours. Je recommande vivement à tous les utilisateurs de configurer la 2FA et une adresse e-mail de récupération
    • Si on pouvait récupérer un compte avec le seul numéro de téléphone, ce serait au contraire dangereux pour la sécurité. En cas de réattribution du numéro, le nouvel utilisateur hériterait des conversations et des contacts de l’ancien
  • Cela ressemble à l’article de recherche sur la découverte de contacts dans WhatsApp, Telegram et Signal publié en 2020 (lien). Au final, la seule chose qui empêche l’énumération de l’ensemble des numéros de téléphone, c’est le rate limiting côté serveur. Je me demande si les limites de chaque messagerie sont suffisantes
  • J’ai déjà participé à ce genre de recherche. La liste des préfixes de téléphonie mobile par pays était très utile. En revanche, je n’ai pas réussi à retrouver le lien vers libphonegen mentionné en référence
  • Le point essentiel, c’est le risque lié à la centralisation des services de messagerie. En réalité, la centralisation pose problème partout, mais les utilisateurs veulent toujours de la simplicité et de l’intégration. Et c’est vraiment difficile à reproduire dans un système distribué
    • Je me demande parfois ce qui se serait passé si tout cela avait démarré de façon ouverte, comme l’e-mail. Si, dans les années 90, on avait demandé « Quelle est ta clé publique ? » au lieu de « Quelle est ton adresse e-mail ? », on vivrait peut-être aujourd’hui dans une utopie numérique
    • SimpleX Chat semble être un bon exemple de combinaison entre sécurité et décentralisation
    • Honnêtement, sur le plan des compétences techniques, j’ai davantage confiance en Meta qu’en un gouvernement. Les projets numériques publics ont un fort taux d’échec et, même si l’on critique les FAANG, il est difficile de faire mieux qu’eux
    • Je viens justement de lire le thread Matrix monté en une de HN, et c’était une discussion dans le même esprit