Une étude de l’Université de Vienne montre qu’en exploitant le système de découverte de contacts de WhatsApp, il a été possible de collecter automatiquement les données publiques de plus de 3,5 milliards d’utilisateurs, révélant les limites du modèle basé sur les numéros de téléphone.

Une équipe de chercheurs de l’Université de Vienne a révélé une faille dans le système de découverte de contacts de WhatsApp, permettant l’énumération et la collecte automatisée de plus de 3,5 milliards de numéros de téléphone, de photos de profil et de statuts publics. Cette opération, menée via l’interface web de l’application, met en lumière les limites de la protection de la vie privée sur des plateformes comptant plusieurs milliards d’utilisateurs.

La procédure d’inscription simplifiée a ses failles

Depuis des années, WhatsApp fonde sa croissance sur une procédure d’inscription simplifiée : un numéro de téléphone suffit pour activer un compte et retrouver automatiquement ses contacts. Ce modèle facilite l’adoption mondiale du service, mais ouvre la porte à des techniques d’énumération. Celles-ci consistent à tester en série de vastes plages de numéros afin de déterminer lesquels sont associés à des comptes existants.

Les chercheurs autrichiens ont exploité l’absence de limitations strictes sur WhatsApp Web pour automatiser ce processus. Leur système a envoyé des centaines de millions de requêtes par heure, identifiant 3,5 milliards d’utilisateurs actifs sans contourner de mécanismes de sécurité. L’interface fournissait par défaut certaines informations publiques, notamment les photos de profil et les textes de statut configurés en visibilité « publique » par les utilisateurs.

Selon l’étude, 57 % des comptes identifiés affichaient une photo de profil et 29 % un texte de statut visible. Les proportions variaient d’un pays à l’autre. Aux États-Unis, 44 % des comptes présentaient une image publique, tandis qu’en Inde et au Brésil – deux pays où WhatsApp est omniprésent – les taux atteignaient respectivement 62 % et 61 %. Les chercheurs soulignent que ces différences reflètent l’usage très répandu de l’application dans certaines régions et des réglages de confidentialité moins fréquemment modifiés.

L’étude a également mis en évidence la présence de millions de comptes dans des pays où WhatsApp est interdit, comme la Chine ou le Myanmar. Dans ces zones, l’installation de l’application a déjà été associée à des contrôles gouvernementaux, voire à des arrestations, ce qui renforce les inquiétudes quant à la possible exploitation de données publiques.

Pas d’intrusion dans les systèmes selon les chercheurs

Les chercheurs insistent sur le fait que leur démarche ne nécessite aucune intrusion dans les systèmes du service : la faille découle du fonctionnement normal du processus de découverte de contacts et de l’absence, à l’époque, de mesures de limitation efficaces. D’autres plateformes imposent des restrictions techniques pour prévenir ce type de scraping massif, mais WhatsApp ne disposait alors pas de protections comparables.

Meta, propriétaire de WhatsApp, affirme avoir renforcé ses mécanismes anti-scraping après la divulgation du rapport. La société indique qu’aucun message n’a été exposé, rappelant que les communications restent chiffrées de bout en bout. Elle soutient également que seules des informations « publiques » ont pu être collectées, conformément aux paramètres choisis par les utilisateurs.

Image générée par IA.

Les auteurs de l’étude contestent en partie cette version, soulignant l’absence de barrières significatives durant leur expérience. Selon eux, si les limites de débit peuvent réduire les risques, elles ne suffisent pas à empêcher la collecte de données à grande échelle dès lors qu’une application repose sur l’association directe entre numéros de téléphone et comptes utilisateurs.

Meta explore actuellement la mise en place d’un système d’identification par nom d’utilisateur, susceptible de réduire la dépendance aux numéros de téléphone et de limiter les risques d’énumération. Cette évolution signifierait un changement notable dans la manière dont les utilisateurs créent et partagent leur identité sur la plateforme.