Une faille de sécurité massive de WhatsApp a révélé le numéro de téléphone de presque tous les utilisateurs de la planète – malgré le fait que la société mère Meta avait été alertée de cette vulnérabilité dès 2017.
Les chercheurs en sécurité ont pu utiliser ce qu’ils ont décrit comme une faille « simple » pour extraire un total de 3,5 milliards de numéros de téléphone du service de messagerie …
Les chercheurs affirment que si le même exploit avait été utilisé par des acteurs malveillants, le résultat aurait été « la plus grande fuite de données de l’histoire ».
L’aspect le plus flagrant de cette défaillance en matière de confidentialité est qu’un autre chercheur en sécurité a alerté Meta sur le problème il y a plus de huit ans, et pendant tout ce temps, l’entreprise n’a pas mis en place la mesure de protection incroyablement simple nécessaire pour le résoudre.
Des rapports câblés.
L’adoption massive de WhatsApp vient en partie de la facilité avec laquelle il est facile de trouver un nouveau contact sur la plateforme de messagerie : ajoutez le numéro de téléphone de quelqu’un, et WhatsApp affiche instantanément s’il est sur le service, souvent aussi sa photo de profil et son nom.
Répétez cette même astuce plusieurs milliards de fois avec chaque numéro de téléphone possible, il s’avère, et la même fonctionnalité peut aussi servir de moyen pratique d’obtenir le numéro de portable de pratiquement tous les utilisateurs WhatsApp sur terre — ainsi que, dans de nombreux cas, des photos de profil et des textes identifiant chacun de ces utilisateurs.
Un chercheur en sécurité a constaté en 2017 que l’entreprise ne limite pas le nombre de vérifications de numéros de téléphone que vous pouvez effectuer, ce qui permet ce type d’attaque. Incroyablement, huit ans plus tard, un groupe de chercheurs autrichiens de l’Université de Vienne a réussi à exploiter exactement la même faille pour obtenir le numéro de téléphone de presque tous les utilisateurs WhatsApp.
Il leur a fallu seulement une demi-heure pour capturer les 30 premiers millions de numéros de téléphone américains, et après cela, ils ont continué.
« À notre connaissance, il s’agit de l’exposition la plus étendue jamais documentée de numéros de téléphone et de données d’utilisateurs connexes », déclare Aljosha Judmayer, l’un des chercheurs de l’Université de Vienne ayant travaillé sur l’étude.
Les chercheurs, bien sûr, ont agi de manière responsable en supprimant la base de données des numéros de téléphone et en alertant Meta. L’entreprise a mis environ six mois supplémentaires à mettre en place une mesure de limitation de débit afin d’empêcher que cette fonctionnalité soit exploitée à cette échelle de masse.
WhatsApp affirme qu’il travaillait déjà sur ce problème et affirme n’avoir trouvé aucune preuve d’exploitation d’acteurs malveillants de cette faille.
En savoir plus sur Gnatepe
Subscribe to get the latest posts sent to your email.
