Une \u00e9quipe de chercheurs autrichiens a d\u00e9couvert l’une des plus graves vuln\u00e9rabilit\u00e9s de WhatsApp de ces derni\u00e8res ann\u00e9es, apr\u00e8s avoir r\u00e9ussi \u00e0 exploiter le m\u00e9canisme de \u00ab\u00a0d\u00e9couverte de contacts\u00a0\u00bb pour cr\u00e9er un r\u00e9pertoire global de 3,5 milliards de comptes actifs dans le monde. <\/p>\n\n\n\n
Si le cryptage int\u00e9gral du contenu des messages est rest\u00e9 intact, la quantit\u00e9 de m\u00e9tadonn\u00e9es que l’\u00e9quipe a pu collecter a mis en \u00e9vidence la fragilit\u00e9 du mod\u00e8le bas\u00e9 sur le num\u00e9ro de t\u00e9l\u00e9phone comme base de l’identit\u00e9 num\u00e9rique sur les plateformes de messagerie instantan\u00e9e. <\/p>\n\n\n\n
L’histoire a commenc\u00e9 comme une exp\u00e9rience de recherche limit\u00e9e, avant de se transformer rapidement en une enqu\u00eate \u00e0 grande \u00e9chelle qui a r\u00e9v\u00e9l\u00e9 des num\u00e9ros de t\u00e9l\u00e9phone \u00e9quivalents \u00e0 pr\u00e8s de la moiti\u00e9 de la population mondiale. <\/p>\n\n\n\n
Les chercheurs ont utilis\u00e9 le protocole XMPP sur lequel WhatsApp s’appuie, via un client personnalis\u00e9 appel\u00e9 whatsmeow<\/em>, ce qui leur a permis de contourner les limites habituelles de l’application et d’envoyer des demandes de v\u00e9rification \u00e0 un rythme d’environ 7 000 num\u00e9ros par seconde. <\/p>\n\n\n\n En utilisant seulement cinq sessions et un seul serveur, l’\u00e9quipe a g\u00e9n\u00e9r\u00e9 des millions de num\u00e9ros potentiels dans 245 pays, puis a v\u00e9rifi\u00e9 chaque num\u00e9ro individuellement pour voir s’il \u00e9tait associ\u00e9 \u00e0 un compte WhatsApp. <\/p>\n\n\n\n Dans une d\u00e9claration r\u00e9sumant l’ampleur de la surprise, Gabriel Gegenhuber, chercheur principal \u00e0 l’universit\u00e9 de Vienne, a d\u00e9clar\u00e9 : Les chercheurs ont ajout\u00e9 dans leur rapport qu’ils \u00ab\u00a0n’ont rencontr\u00e9 aucune limite dans le taux de recherche\u00a0\u00bb et qu’ils ont effectu\u00e9 l’analyse massive \u00ab\u00a0sans blocage, ralentissement ou alerte\u00a0\u00bb des serveurs de WhatsApp, ce qui indique clairement une vuln\u00e9rabilit\u00e9 dans les protections contre l’exfiltration de donn\u00e9es \u00e0 grande \u00e9chelle. <\/p>\n\n\n\n Selon les conclusions de l’\u00e9quipe, ce processus a permis d’obtenir une image presque compl\u00e8te de la base d’utilisateurs de WhatsApp, notamment : <\/p>\n\n\n\n Dans des pays comme les \u00c9tats-Unis, le Br\u00e9sil et le Mexique, les utilisateurs peuvent \u00eatre localis\u00e9s jusqu’au niveau de l’\u00c9tat, ce qui ouvre la porte \u00e0 l’exploitation de ces donn\u00e9es pour des campagnes d’hame\u00e7onnage tr\u00e8s cibl\u00e9es ou des appels frauduleux. <\/p>\n\n\n\n Dans un commentaire soulignant le risque li\u00e9 aux m\u00e9tadonn\u00e9es, le co-chercheur Alyosha Yudmayr a d\u00e9clar\u00e9 : L’\u00e9quipe a expliqu\u00e9 que le type de donn\u00e9es obtenues est largement similaire \u00e0 ce que n’importe qui peut voir s’il conna\u00eet le num\u00e9ro de l’utilisateur, mais c’est le volume et la mani\u00e8re dont elles sont compil\u00e9es qui les rendent dangereuses. L’\u00e9quipe a pu extraire des informations suppl\u00e9mentaires, notamment <\/p>\n\n\n\n Ces d\u00e9tails, lorsqu’ils sont collect\u00e9s et analys\u00e9s par des algorithmes, permettent d’\u00e9tablir des profils pr\u00e9cis pour des milliards de comptes. <\/p>\n\n\n\n L’\u00e9tude a mis en \u00e9vidence un r\u00e9sultat inattendu : des millions de comptes actifs dans des pays o\u00f9 WhatsApp est officiellement interdit. <\/p>\n\n\n\n Les chercheurs ont trouv\u00e9 2,3 millions de comptes en Chine, 1,6 million de comptes au Myanmar, cinq comptes en Cor\u00e9e du Nord et plus de 59 millions de comptes en Iran, bien que ce dernier pays maintienne l’interdiction jusqu’\u00e0 la fin de 2024. <\/p>\n\n\n\n L’\u00e9tude conclut : Ces chiffres confirment qu’une interdiction l\u00e9gale n’emp\u00eache pas n\u00e9cessairement l’utilisation de l’application, mais pousse plut\u00f4t les utilisateurs \u00e0 recourir \u00e0 des VPN et \u00e0 d’autres m\u00e9thodes pour contourner le blocage, laissant derri\u00e8re eux une empreinte num\u00e9rique qui peut \u00eatre exploit\u00e9e. <\/p>\n\n\n\n Les r\u00e9sultats de l’analyse ont \u00e9galement montr\u00e9 qu’environ la moiti\u00e9 des num\u00e9ros de t\u00e9l\u00e9phone apparus dans la fameuse fuite de donn\u00e9es d’utilisateurs de Facebook en 2021 sont toujours utilis\u00e9s sur WhatsApp aujourd’hui.<\/p>\n\n\n\n La fuite a d\u00e9j\u00e0 r\u00e9v\u00e9l\u00e9 des noms d’utilisateur, des num\u00e9ros de t\u00e9l\u00e9phone, des donn\u00e9es g\u00e9ographiques et des dates de naissance, et a \u00e9t\u00e9 diffus\u00e9e sur des forums de piratage. <\/p>\n\n\n\n Dans ce contexte, la Commission irlandaise de protection des donn\u00e9es a impos\u00e9 une amende de 265 millions d’euros \u00e0 Meta pour Les chercheurs avertissent que : L’\u00e9tablissement d’un lien entre les donn\u00e9es pr\u00e9c\u00e9demment divulgu\u00e9es et les donn\u00e9es nouvellement collect\u00e9es permet d’am\u00e9liorer la pr\u00e9cision de l’image des d\u00e9tenteurs de num\u00e9ros et de les cibler plus facilement. <\/p>\n\n\n\n Pour sa part, Meta a confirm\u00e9 qu’elle avait coop\u00e9r\u00e9 avec l’\u00e9quipe de recherche tout au long de l’\u00e9tude et qu’elle avait \u00ab\u00a0r\u00e9solu et att\u00e9nu\u00e9 le probl\u00e8me\u00a0\u00bb. <\/p>\n\n\n\n Nitin Gupta, vice-pr\u00e9sident de l’ing\u00e9nierie chez WhatsApp, a d\u00e9clar\u00e9 dans un communiqu\u00e9 officiel : Il a ajout\u00e9 : M. Gupta a indiqu\u00e9 que l’entreprise avait introduit de nouvelles restrictions sur la fr\u00e9quence des demandes via l’interface Web de WhatsApp, soulignant que : Toutefois, selon les experts, la \u00ab\u00a0g\u00e9n\u00e9ralit\u00e9\u00a0\u00bb des informations n’annule pas le risque de les collecter et de les analyser \u00e0 l’\u00e9chelle de milliards de comptes \u00e0 la fois. <\/p>\n\n\n\n Les chercheurs soulignent que le v\u00e9ritable probl\u00e8me n’est pas la vuln\u00e9rabilit\u00e9 qui a \u00e9t\u00e9 combl\u00e9e, mais la nature de la conception de l’application elle-m\u00eame, qui repose enti\u00e8rement sur le num\u00e9ro de t\u00e9l\u00e9phone en tant qu’identit\u00e9 centrale de l’utilisateur. <\/p>\n\n\n\n Cette d\u00e9pendance fait de toute interface ou fonction associ\u00e9e aux chiffres une cible tentante pour l’exfiltration massive de donn\u00e9es. Le rapport indique : L’\u00e9tude laisse entendre que la fonction \u00ab\u00a0nom d’utilisateur\u00a0\u00bb que WhatsApp teste actuellement en version b\u00eata pourrait \u00eatre un premier pas vers la r\u00e9duction de la d\u00e9pendance \u00e0 l’\u00e9gard des num\u00e9ros de t\u00e9l\u00e9phone, limitant ainsi la possibilit\u00e9 de construire des bases de donn\u00e9es mondiales similaires \u00e0 l’avenir. <\/p>\n\n\n\n L’\u00e9tude confirme que le chiffrement de bout en bout a permis de prot\u00e9ger le contenu des conversations, mais que les donn\u00e9es entourant les messages – telles que la date de cr\u00e9ation du compte, le type d’appareil, la localisation approximative, la photo de profil – peuvent devenir tr\u00e8s dangereuses lorsqu’elles sont collect\u00e9es et analys\u00e9es \u00e0 grande \u00e9chelle. <\/p>\n\n\n\n Ce qui s’est pass\u00e9 avec WhatsApp refl\u00e8te la fragilit\u00e9 de l’architecture num\u00e9rique qui sous-tend l’identit\u00e9 de milliards d’utilisateurs et pose d’urgence la question de l’avenir de la vie priv\u00e9e dans un monde o\u00f9 les applications de messagerie les plus puissantes s’appuient sur un num\u00e9ro de t\u00e9l\u00e9phone comme identifiant principal et o\u00f9 les acteurs – qu’ils soient chercheurs ou malveillants – sont plus que jamais en mesure d’exploiter les m\u00e9tadonn\u00e9es. <\/p>\n","protected":false},"excerpt":{"rendered":" Une \u00e9quipe de chercheurs autrichiens a d\u00e9couvert l’une des plus graves vuln\u00e9rabilit\u00e9s de WhatsApp de ces derni\u00e8res ann\u00e9es, apr\u00e8s avoir r\u00e9ussi \u00e0 exploiter le m\u00e9canisme de \u00ab\u00a0d\u00e9couverte de contacts\u00a0\u00bb pour cr\u00e9er un r\u00e9pertoire global de 3,5 milliards de comptes actifs dans le monde. Si le cryptage int\u00e9gral du contenu des messages est rest\u00e9 intact, la …<\/p>\n","protected":false},"author":2,"featured_media":7290,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[51],"tags":[],"class_list":["post-7292","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-actualites-technologiques"],"_links":{"self":[{"href":"https:\/\/m24press.com\/fr\/wp-json\/wp\/v2\/posts\/7292","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/m24press.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/m24press.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/m24press.com\/fr\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/m24press.com\/fr\/wp-json\/wp\/v2\/comments?post=7292"}],"version-history":[{"count":0,"href":"https:\/\/m24press.com\/fr\/wp-json\/wp\/v2\/posts\/7292\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/m24press.com\/fr\/wp-json\/wp\/v2\/media\/7290"}],"wp:attachment":[{"href":"https:\/\/m24press.com\/fr\/wp-json\/wp\/v2\/media?parent=7292"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/m24press.com\/fr\/wp-json\/wp\/v2\/categories?post=7292"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/m24press.com\/fr\/wp-json\/wp\/v2\/tags?post=7292"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
\u00ab\u00a0Le syst\u00e8me ne devrait pas r\u00e9pondre \u00e0 un si grand nombre de demandes en peu de temps, surtout lorsqu’elles proviennent d’une seule source. Ce comportement a r\u00e9v\u00e9l\u00e9 un bogue qui nous a permis d’envoyer un nombre illimit\u00e9 de demandes au serveur et de cartographier ainsi les donn\u00e9es des utilisateurs dans le monde entier\u00a0\u00bb, a d\u00e9clar\u00e9 Gabriel Gegenhuber, chercheur principal \u00e0 l’universit\u00e9 de Vienne. <\/p>\n\n\n\nQue r\u00e9v\u00e8le la base de donn\u00e9es ?<\/h3>\n\n\n\n
\n
\u00ab\u00a0Le chiffrement int\u00e9gral prot\u00e8ge le contenu des messages, mais pas les m\u00e9tadonn\u00e9es. Notre \u00e9tude montre que des risques peuvent survenir lorsque ces donn\u00e9es sont collect\u00e9es et analys\u00e9es \u00e0 grande \u00e9chelle\u00a0\u00bb. <\/p>\n\n\n\n\n
Des millions de comptes dans les pays o\u00f9 WhatsApp est officiellement interdit<\/h3>\n\n\n\n
\u00ab\u00a0Ces r\u00e9sultats montrent \u00e0 quel point les utilisateurs ont recours \u00e0 des solutions techniques pour acc\u00e9der \u00e0 WhatsApp, malgr\u00e9 les restrictions impos\u00e9es par le gouvernement.\u00a0\u00bb <\/p>\n\n\n\nLe spectre de la fuite de 2021 est de retour<\/h3>\n\n\n\n
\u00ab\u00a0non-respect des lois sur la protection des donn\u00e9es\u00a0\u00bb. <\/p>\n\n\n\n
\u00ab\u00a0il existe des risques de s\u00e9curit\u00e9 permanents et croissants pour tout utilisateur dont le num\u00e9ro de t\u00e9l\u00e9phone figure encore parmi ceux qui ont \u00e9t\u00e9 divulgu\u00e9s dans le cadre de la violation\u00a0\u00bb.<\/p>\n\n\n\nR\u00e9ponse de Meta : La faille a \u00e9t\u00e9 combl\u00e9e et l’information \u00e9tait \u00ab\u00a0publique\u00a0\u00bb <\/h3>\n\n\n\n
\u00ab\u00a0Nous travaillions d\u00e9j\u00e0 sur des syst\u00e8mes avanc\u00e9s pour lutter contre l’exfiltration de donn\u00e9es, et cette \u00e9tude \u00e9tait importante pour tester l’efficacit\u00e9 de ces d\u00e9fenses.\u00a0\u00bb <\/p>\n\n\n\n
\u00ab\u00a0Nous n’avons trouv\u00e9 aucune preuve que des acteurs malveillants aient exploit\u00e9 cette voie. Les messages des utilisateurs sont rest\u00e9s priv\u00e9s et s\u00e9curis\u00e9s gr\u00e2ce au chiffrement de bout en bout, et il n’y a pas eu d’acc\u00e8s \u00e0 des donn\u00e9es non publiques\u00a0\u00bb. <\/p>\n\n\n\n
\u00ab\u00a0Les informations collect\u00e9es \u00e9taient des informations publiques que n’importe qui pouvait voir s’il avait le num\u00e9ro de t\u00e9l\u00e9phone, et que les utilisateurs qui avaient activ\u00e9 les param\u00e8tres de confidentialit\u00e9 n’\u00e9taient pas affect\u00e9s.\u00a0\u00bb <\/p>\n\n\n\nPourquoi le probl\u00e8me est-il plus grave qu’une simple vuln\u00e9rabilit\u00e9 technique ?<\/h3>\n\n\n\n
\u00ab\u00a0La centralisation de la d\u00e9pendance sur quelques applications de messagerie cr\u00e9e des vuln\u00e9rabilit\u00e9s massives lorsque les m\u00e9tadonn\u00e9es sont collect\u00e9es \u00e0 l’\u00e9chelle mondiale.\u00a0\u00bb <\/p>\n\n\n\nLe plus grand danger ne r\u00e9side pas dans le contenu des messages… mais dans leur environnement<\/h3>\n\n\n\n