Lorsque vous installez WhatsApp sur votre smartphone, l’application vous permet de trouver d’autres personnes qui sont sur votre liste de contact et qui utilisent également l’application. Ce mécanisme est très pratique, puisqu’il permet à deux personnes qui se sont déjà échangé leur numéro de téléphone d’entrer en contact via le service de messagerie sans aucune action supplémentaire. Néanmoins, comme l’ont découvert des chercheurs de l’université de Vienne et de SBA Research, ce mécanisme de découverte avait un important problème de sécurité.
Ces chercheurs ont démontré qu’il était possible d’abuser de ce mécanisme de découverte, en envoyant plus de 100 millions de numéros de téléphone par heure, afin de tester tous les numéros de téléphone possibles et obtenir des informations sur les comptes WhatsApp. Lors de cette expérience, les chercheurs ont donc pu confirmer plus de 3,5 milliards de comptes WhatsApp. Le processus a aussi permis d’obtenir les informations publiques partagées par les utilisateurs du service de messagerie, associées au numéro de téléphone. Dans certains cas, cela inclut du texte associé au compte et une photo de profil.
Un problème de sécurité
“Normalement, un système ne devrait pas répondre à un nombre aussi élevé de requêtes en si peu de temps, en particulier lorsqu’elles proviennent d’une seule source”, explique Gabriel Gegenhuber, auteur principal de l’étude. “Ce comportement a révélé la faille sous-jacente, qui nous a permis d’envoyer un nombre pratiquement illimité de requêtes au serveur et, ce faisant, de cartographier les données des utilisateurs dans le monde entier.”
D’après le communiqué de l’université de Vienne, à partir des points de données obtenues grâce à l’énumération, les chercheurs auraient pu extraire des informations supplémentaires qui ont permis de déduire d’autres informations, comme le système d’exploitation utilisé, l’ancienneté du compte, etc. “L’étude montre que même cette quantité limitée de données par utilisateur peut révéler des informations importantes, tant au niveau macroscopique qu’individuel”, explique l’université.
La bonne nouvelle : aucune attaque n’aurait encore été menée
Fort heureusement, comme ceux qui ont découvert ce problème de sécurité étaient des chercheurs, ceux-ci l’ont signalé au groupe Meta. Et les informations collectées pendant l’expérience ont déjà été supprimées. Par ailleurs, le groupe Meta a aussi collaboré avec les chercheurs pour résoudre le problème. Ainsi, au moment où cet article est rédigé, il n’est plus possible de vérifier tous les numéros de téléphone possibles sur WhatsApp.
“Nous travaillions déjà sur des systèmes anti-éraflures de pointe, et cette étude a joué un rôle déterminant dans la mise à l’épreuve et la confirmation de l’efficacité immédiate de ces nouvelles défenses”, affirme aussi Nitin Gupta, vice-président de l’ingénierie chez WhatsApp, cité par le magazine Wired. Le responsable affirme également que le groupe n’a aucune preuve indiquant que le problème a été abusé par des acteurs malveillants. D’autre part, les messages privés sur WhatsApp (qui sont chiffrés) et les informations que les utilisateurs n’ont pas rendus publics n’étaient pas exposés par ce problème de sécurité.
📍 Pour ne manquer aucune actualité de Presse-citron, suivez-nous sur Google Actualités et WhatsApp.
