WhatsApp : 3,5 milliards de numéros exposés pendant 8 ans via une faille

En 30 minutes chrono, trois chercheurs autrichiens ont mis la main sur 30 millions de numéros de téléphone américains. Une prouesse technique ? Non, une simple exploitation d’une faille béante dans WhatsApp, connue depuis huit ans et jamais corrigée. Selon Le Parisien, cette vulnérabilité a exposé quelque 3,5 milliards de numéros de téléphone, soit la quasi-totalité des utilisateurs de la messagerie instantanée du groupe Meta. Une révélation qui soulève de sérieuses questions sur la gestion de la sécurité des données par le géant californien.

Combien ? 3,5 milliards de numéros extraits à raison de 100 millions par heure

Les chiffres donnent le vertige. L’équipe de chercheurs de l’Université de Vienne, menée par Aljosha Judmayer, a réussi à extraire 3,5 milliards de numéros de téléphone d’utilisateurs WhatsApp. Comme le rapporte 01net, les chercheurs ont pu procéder à la vérification d’environ 100 millions de numéros par heure via l’interface web du service. Une cadence industrielle rendue possible par l’absence totale de limitation du nombre de requêtes.

Mais les numéros de téléphone ne sont pas les seules données exposées. Selon Comment Ça Marche, environ 57% des numéros collectés ont également permis d’accéder aux photos de profil des utilisateurs, et 29% comportaient un texte public dans la section « à propos ». L’étude révèle que l’ensemble de données contient également des horodatages, des informations sur les SMS et des clés publiques pour le chiffrement.

« L’ensemble de données contient des numéros de téléphone, des horodatages, des informations sur les SMS, des photos de profil et des clés publiques pour le chiffrement. Sa divulgation aurait des conséquences néfastes pour les utilisateurs concernés », alertent les chercheurs dans leur étude accessible sur la plateforme Github.

Pourquoi maintenant ? Une faille signalée dès 2017 et ignorée pendant 8 ans

Le plus troublant dans cette affaire n’est pas tant l’ampleur de la faille que la durée pendant laquelle elle est restée béante. Comme le souligne PhonAndroid, un premier chercheur en cybersécurité avait déjà découvert et signalé cette vulnérabilité à Meta en 2017. Soit il y a huit ans. Malgré cet avertissement, le groupe américain n’a manifestement jamais jugé nécessaire de revoir son système de limitation des requêtes.

La méthode utilisée par les chercheurs autrichiens repose sur une fonction basique de WhatsApp : la découverte de contacts. Lorsqu’un utilisateur ajoute un numéro de téléphone à ses contacts, l’application vérifie automatiquement s’il correspond à un compte actif et affiche généralement la photo de profil et le nom associé. En automatisant ce processus et en testant tous les numéros possibles, les chercheurs ont pu constituer une base de données exhaustive.

Après avoir été alerté une nouvelle fois en avril 2025 par l’équipe viennoise, Meta a finalement déployé une mise à jour en octobre dernier pour limiter le nombre de requêtes possibles. Six mois de délai pour corriger une faille connue depuis près d’une décennie. Frandroid rapporte que WhatsApp a récompensé les chercheurs via son programme Bug Bounty, tout en minimisant la gravité de la situation.

Qui est impacté ? La quasi-totalité des 3 milliards d’utilisateurs WhatsApp

Avec plus de 3 milliards d’utilisateurs actifs dans le monde, WhatsApp est l’une des applications de messagerie les plus utilisées de la planète. Cette faille a donc potentiellement exposé la quasi-totalité de sa base d’utilisateurs. Français, Américains, Indiens, Brésiliens : personne n’a été épargné par cette vulnérabilité systémique.

Les chercheurs ont d’ailleurs choisi de tester leur méthode sur les numéros américains en priorité. Résultat : 30 millions de numéros extraits en seulement 30 minutes. Ils ont ensuite étendu leur collecte à l’échelle mondiale, démontrant que le procédé fonctionnait sur tous les indicatifs téléphoniques internationaux. Selon iPhoneSoft, cette découverte souligne les risques inhérents à l’utilisation des numéros de téléphone comme identifiants principaux.

Heureusement, cette extraction massive a été menée dans un cadre strictement scientifique. Les chercheurs autrichiens ont indiqué avoir supprimé l’intégralité de leur base de données après avoir alerté Meta. Ils ont précisé que les données récupérées seraient utilisées uniquement à des fins scientifiques et qu’elles ne seraient « jamais publiées ». Une démarche qualifiée de « menée de manière responsable » dans leur étude.

Quelle probabilité ? Meta affirme n’avoir détecté aucune exploitation malveillante

La question qui hante désormais tous les utilisateurs : des acteurs malveillants ont-ils exploité cette faille avant sa correction ? Meta se veut rassurant. Nitin Gupta, vice-président de l’ingénierie chez WhatsApp, a déclaré à Wired que l’entreprise n’avait « trouvé aucune preuve d’exploitation de cette faille par des acteurs malveillants ».

« Nous travaillions déjà sur des systèmes anti-scraping de pointe, et cette étude a été essentielle pour tester leur robustesse et confirmer leur efficacité immédiate », a indiqué Nitin Gupta, vice-président de l’ingénierie chez WhatsApp.

Une affirmation qui laisse perplexe au regard des huit années pendant lesquelles la faille est restée ouverte. Comment Meta peut-il garantir qu’aucun groupe de cybercriminels n’a exploité cette vulnérabilité entre 2017 et 2025 ? L’entreprise californienne a par ailleurs tenté de minimiser la portée de l’incident en qualifiant les données exposées d' »informations publiques de base ». Un argumentaire contesté par les chercheurs, qui estiment que la combinaison de numéros de téléphone, de photos de profil et de métadonnées temporelles constitue bel et bien une fuite de données sensibles.

Pour Aljosha Judmayer et son équipe, il s’agirait de « la plus grande fuite de données de l’Histoire » si elle avait été exploitée par des acteurs malveillants. Une hypothèse glaçante qui souligne l’ampleur des risques encourus pendant près d’une décennie.

Et après ? Vers des identifiants alternatifs et une surveillance accrue

Cette affaire pose une question fondamentale sur l’architecture même de WhatsApp. Les chercheurs suggèrent que l’utilisation du numéro de téléphone comme identifiant principal présente des risques structurels pour la confidentialité des utilisateurs. Ils recommandent l’adoption d’identifiants alternatifs, comme des noms d’utilisateur, pour améliorer la protection des données personnelles.

Une évolution qui pourrait justement voir le jour prochainement. iPhoneSoft indique que WhatsApp travaillerait actuellement sur l’introduction de noms d’utilisateur optionnels, permettant aux utilisateurs de communiquer sans nécessairement partager leur numéro de téléphone. Une fonctionnalité qui pourrait réduire significativement les risques d’exposition massive de données.

Au-delà de WhatsApp, cette affaire soulève des interrogations plus larges sur la responsabilité des géants du numérique dans la protection des données de leurs utilisateurs. Comment expliquer qu’une faille signalée en 2017 n’ait été corrigée qu’en 2025 ? Quels mécanismes de contrôle et de surveillance doivent être renforcés pour éviter de telles situations à l’avenir ? Des questions qui resteront sans doute au cœur des débats sur la régulation des plateformes numériques dans les mois à venir.