WhatsApp permettait de récupérer les infos liées à 3,5 milliards de numéros de téléphone
La fuite évitée du carnet d'adresse du monde entier
Des chercheurs en sécurité autrichiens ont identifié et pu exploiter une faille de sécurité dans WhatsApp leur permettant de récupérer des informations personnelles liées à 3,5 milliards de numéros via l'API XMPP de l'application. Informée de la possibilité d'une faille en septembre 2024, l'entreprise a mis plus d'un an à leur répondre et à y remédier.
Quand on ajoute un contact dans WhatsApp, on se rend compte rapidement que l'application permet, avec juste le numéro de téléphone, de connaitre le nom de la personne liée ainsi que sa photo de profil. Jusque là, rien de nouveau même si ça pose des questions de confidentialité des données. Mais Gabriel K. Gegenhuber, chercheur en sécurité à l'université de Vienne, et ses collègues se sont aperçus qu'il était possible d'automatiser massivement cette récupération d'information jusqu'à obtenir une base de données de plus de 3,5 milliards de profils avec au moins le nom associé au numéro.
56,7 % de ces comptes avaient des photos de profils associées et les chercheurs ont donc pu les récupérer. De la même façon, ils ont pu connaître le « statut » de 29,3 % des utilisateurs qui l'avaient rempli et savoir que 9 % étaient des profils « business ». Leur accès leur a permis de constater que 8,8 % des profils WhatsApp utilisaient le mode « compagnon » qui permet d'utiliser l'application sur plusieurs appareils. Enfin, les chercheurs soulignent qu'ils ont pu récupérer des informations d'utilisateurs situés en Birmanie, en Chine et en Corée du Nord, « où WhatsApp est officiellement interdit et où les utilisateurs s'exposent à de lourdes sanctions s'ils l'utilisent ».
WhatsApp a échappé à la « plus grande fuite de données de l'histoire »
Dans leur article (mis en ligne sur GitHub et accepté à la conférence scientifique Network and Distributed System Security, ou NDSS, qui se déroulera en février 2026), les chercheurs affichent d'emblée qu'avec ces 3,5 milliards de comptes actifs concernés, leur découverte aurait été « la plus grande fuite de données de l'histoire, si elle n'avait pas été collectée dans le cadre d'une étude menée de manière responsable ».
Commentaires (8)
Le 19/11/2025 à 14h19
Le 19/11/2025 à 14h33
J'imagine par un don à l'UCLA ou similaire
/sarcasme
"Pardon de vous déranger Méta mais on a trouvé ça..."
1 an plus tard tape sur l'épaule "on aurait rien pu faire sans vous"
Mais à la base la faille est dûe au fonctionnement même de l'"ajout de contact" par numéro de téléphone.
Ils ont mis une limite à 1000 et puis voilà ou bien on s'attend vraiment à un changement robuste du processus de fonctionnement?
Le 19/11/2025 à 15h33
Le 19/11/2025 à 17h15
Le 20/11/2025 à 11h35
Le 19/11/2025 à 19h58
Le 20/11/2025 à 08h37
Autrement oui les chercheurs ont pu tirer des dataset sympatiques comme illustré dans l'article...
Le 19/11/2025 à 22h22
Signaler un commentaire
Voulez-vous vraiment signaler ce commentaire ?