3,5 milliards de comptes WhatsApp dans 245 pays : La vulnérabilité révèle la fragilité de l’identité numérique

Une équipe de chercheurs autrichiens a découvert l’une des plus graves vulnérabilités de WhatsApp de ces dernières années, après avoir réussi à exploiter le mécanisme de « découverte de contacts » pour créer un répertoire global de 3,5 milliards de comptes actifs dans le monde.

Si le cryptage intégral du contenu des messages est resté intact, la quantité de métadonnées que l’équipe a pu collecter a mis en évidence la fragilité du modèle basé sur le numéro de téléphone comme base de l’identité numérique sur les plateformes de messagerie instantanée.

Un petit problème technique révèle la moitié de la population de la planète

L’histoire a commencé comme une expérience de recherche limitée, avant de se transformer rapidement en une enquête à grande échelle qui a révélé des numéros de téléphone équivalents à près de la moitié de la population mondiale.

Les chercheurs ont utilisé le protocole XMPP sur lequel WhatsApp s’appuie, via un client personnalisé appelé whatsmeow, ce qui leur a permis de contourner les limites habituelles de l’application et d’envoyer des demandes de vérification à un rythme d’environ 7 000 numéros par seconde.

En utilisant seulement cinq sessions et un seul serveur, l’équipe a généré des millions de numéros potentiels dans 245 pays, puis a vérifié chaque numéro individuellement pour voir s’il était associé à un compte WhatsApp.

Dans une déclaration résumant l’ampleur de la surprise, Gabriel Gegenhuber, chercheur principal à l’université de Vienne, a déclaré :
« Le système ne devrait pas répondre à un si grand nombre de demandes en peu de temps, surtout lorsqu’elles proviennent d’une seule source. Ce comportement a révélé un bogue qui nous a permis d’envoyer un nombre illimité de demandes au serveur et de cartographier ainsi les données des utilisateurs dans le monde entier », a déclaré Gabriel Gegenhuber, chercheur principal à l’université de Vienne.

Les chercheurs ont ajouté dans leur rapport qu’ils « n’ont rencontré aucune limite dans le taux de recherche » et qu’ils ont effectué l’analyse massive « sans blocage, ralentissement ou alerte » des serveurs de WhatsApp, ce qui indique clairement une vulnérabilité dans les protections contre l’exfiltration de données à grande échelle.

Que révèle la base de données ?

Selon les conclusions de l’équipe, ce processus a permis d’obtenir une image presque complète de la base d’utilisateurs de WhatsApp, notamment :

• Leur répartition géographique entre les pays et les régions.
• Les systèmes d’exploitation les plus couramment utilisés.
• Âge du compte.
• Le nombre d’appareils associés à chaque compte via le mode compagnon.

Dans des pays comme les États-Unis, le Brésil et le Mexique, les utilisateurs peuvent être localisés jusqu’au niveau de l’État, ce qui ouvre la porte à l’exploitation de ces données pour des campagnes d’hameçonnage très ciblées ou des appels frauduleux.

Dans un commentaire soulignant le risque lié aux métadonnées, le co-chercheur Alyosha Yudmayr a déclaré :
« Le chiffrement intégral protège le contenu des messages, mais pas les métadonnées. Notre étude montre que des risques peuvent survenir lorsque ces données sont collectées et analysées à grande échelle ».

L’équipe a expliqué que le type de données obtenues est largement similaire à ce que n’importe qui peut voir s’il connaît le numéro de l’utilisateur, mais c’est le volume et la manière dont elles sont compilées qui les rendent dangereuses. L’équipe a pu extraire des informations supplémentaires, notamment

• Le système d’exploitation de l’appareil.
• L’âge du compte.
• Nombre d’appareils connectés.
• Photos du profil.
• et des profils rédigés par les utilisateurs.

Ces détails, lorsqu’ils sont collectés et analysés par des algorithmes, permettent d’établir des profils précis pour des milliards de comptes.

Des millions de comptes dans les pays où WhatsApp est officiellement interdit

L’étude a mis en évidence un résultat inattendu : des millions de comptes actifs dans des pays où WhatsApp est officiellement interdit.

Les chercheurs ont trouvé 2,3 millions de comptes en Chine, 1,6 million de comptes au Myanmar, cinq comptes en Corée du Nord et plus de 59 millions de comptes en Iran, bien que ce dernier pays maintienne l’interdiction jusqu’à la fin de 2024.

L’étude conclut :
« Ces résultats montrent à quel point les utilisateurs ont recours à des solutions techniques pour accéder à WhatsApp, malgré les restrictions imposées par le gouvernement. »

Ces chiffres confirment qu’une interdiction légale n’empêche pas nécessairement l’utilisation de l’application, mais pousse plutôt les utilisateurs à recourir à des VPN et à d’autres méthodes pour contourner le blocage, laissant derrière eux une empreinte numérique qui peut être exploitée.

Le spectre de la fuite de 2021 est de retour

Les résultats de l’analyse ont également montré qu’environ la moitié des numéros de téléphone apparus dans la fameuse fuite de données d’utilisateurs de Facebook en 2021 sont toujours utilisés sur WhatsApp aujourd’hui.

La fuite a déjà révélé des noms d’utilisateur, des numéros de téléphone, des données géographiques et des dates de naissance, et a été diffusée sur des forums de piratage.

Dans ce contexte, la Commission irlandaise de protection des données a imposé une amende de 265 millions d’euros à Meta pour
« non-respect des lois sur la protection des données ».

Les chercheurs avertissent que :
« il existe des risques de sécurité permanents et croissants pour tout utilisateur dont le numéro de téléphone figure encore parmi ceux qui ont été divulgués dans le cadre de la violation ».

L’établissement d’un lien entre les données précédemment divulguées et les données nouvellement collectées permet d’améliorer la précision de l’image des détenteurs de numéros et de les cibler plus facilement.

Réponse de Meta : La faille a été comblée et l’information était « publique »

Pour sa part, Meta a confirmé qu’elle avait coopéré avec l’équipe de recherche tout au long de l’étude et qu’elle avait « résolu et atténué le problème ».

Nitin Gupta, vice-président de l’ingénierie chez WhatsApp, a déclaré dans un communiqué officiel :
« Nous travaillions déjà sur des systèmes avancés pour lutter contre l’exfiltration de données, et cette étude était importante pour tester l’efficacité de ces défenses. »

Il a ajouté :
« Nous n’avons trouvé aucune preuve que des acteurs malveillants aient exploité cette voie. Les messages des utilisateurs sont restés privés et sécurisés grâce au chiffrement de bout en bout, et il n’y a pas eu d’accès à des données non publiques ».

M. Gupta a indiqué que l’entreprise avait introduit de nouvelles restrictions sur la fréquence des demandes via l’interface Web de WhatsApp, soulignant que :
« Les informations collectées étaient des informations publiques que n’importe qui pouvait voir s’il avait le numéro de téléphone, et que les utilisateurs qui avaient activé les paramètres de confidentialité n’étaient pas affectés. »

Toutefois, selon les experts, la « généralité » des informations n’annule pas le risque de les collecter et de les analyser à l’échelle de milliards de comptes à la fois.

Pourquoi le problème est-il plus grave qu’une simple vulnérabilité technique ?

Les chercheurs soulignent que le véritable problème n’est pas la vulnérabilité qui a été comblée, mais la nature de la conception de l’application elle-même, qui repose entièrement sur le numéro de téléphone en tant qu’identité centrale de l’utilisateur.

Cette dépendance fait de toute interface ou fonction associée aux chiffres une cible tentante pour l’exfiltration massive de données. Le rapport indique :
« La centralisation de la dépendance sur quelques applications de messagerie crée des vulnérabilités massives lorsque les métadonnées sont collectées à l’échelle mondiale. »

L’étude laisse entendre que la fonction « nom d’utilisateur » que WhatsApp teste actuellement en version bêta pourrait être un premier pas vers la réduction de la dépendance à l’égard des numéros de téléphone, limitant ainsi la possibilité de construire des bases de données mondiales similaires à l’avenir.

Le plus grand danger ne réside pas dans le contenu des messages… mais dans leur environnement

L’étude confirme que le chiffrement de bout en bout a permis de protéger le contenu des conversations, mais que les données entourant les messages – telles que la date de création du compte, le type d’appareil, la localisation approximative, la photo de profil – peuvent devenir très dangereuses lorsqu’elles sont collectées et analysées à grande échelle.

Ce qui s’est passé avec WhatsApp reflète la fragilité de l’architecture numérique qui sous-tend l’identité de milliards d’utilisateurs et pose d’urgence la question de l’avenir de la vie privée dans un monde où les applications de messagerie les plus puissantes s’appuient sur un numéro de téléphone comme identifiant principal et où les acteurs – qu’ils soient chercheurs ou malveillants – sont plus que jamais en mesure d’exploiter les métadonnées.