Source et contexte — University of Vienna (univie.ac.at) publie une étude montrant qu’une faiblesse de confidentialité dans le mécanisme de découverte de contacts de WhatsApp a permis l’énumération massive de comptes, divulguée de manière responsable et désormais mitigée par Meta.
• Les chercheurs de l’University of Vienna et SBA Research ont démontré qu’il était possible de sonder plus de 100 millions de numéros par heure via l’infrastructure de WhatsApp, confirmant plus de 3,5 milliards de comptes actifs dans 245 pays. Cette vulnérabilité de confidentialité exploitait la logique de découverte de contacts pour répondre à un volume de requêtes anormalement élevé depuis une même source. 🔎
• Les données accessibles (déjà publiques pour quiconque connaît le numéro) comprenaient : numéro de téléphone, clés publiques, horodatages, et, si définis publics, statut “about” et photo de profil. À partir de ces éléments, les chercheurs ont pu déduire le système d’exploitation, l’ancienneté du compte et le nombre d’appareils compagnons liés. 🧩
• Constatations élargies :
- Présence de millions de comptes actifs dans des pays où WhatsApp est officiellement banni (p. ex. Chine, Iran, Myanmar).
- Statistiques globales d’usage (environ Android 81 % vs iOS 19 %), différences régionales de comportements de confidentialité (photos de profil publiques, texte « about »), et variations de croissance selon les pays.
- Quelques cas de réutilisation de clés cryptographiques entre appareils/numéros, suggérant des faiblesses potentielles liées à des clients non officiels ou à des usages frauduleux.
- Près de la moitié des numéros présents dans la fuite Facebook 2021 (issue d’un scraping de 2018) sont encore actifs sur WhatsApp, soulignant la persistance des risques pour les numéros exposés. 🌍
• Réponse de Meta/WhatsApp : Meta a mitigé le vecteur (p. ex. rate-limiting, visibilité plus stricte des profils) et indique ne pas avoir trouvé de preuve d’abus malveillant via cette voie. Le chiffrement de bout en bout des messages n’a pas été affecté (pas d’accès au contenu), mais l’étude illustre les risques liés aux métadonnées. 🛡️
• Cadre éthique et publication : Recherche menée sous lignes directrices éthiques et divulgation responsable, données supprimées avant publication. Le préprint est disponible et les résultats seront présentés à NDSS 2026. Cette étude s’inscrit dans une série de travaux académiques antérieurs sur WhatsApp et messageries chiffrées, axés sur les reçus de livraison silencieux et la gestion des clés.
TTPs observées
- Énumération à grande échelle via le mécanisme de découverte de contacts.
- Scraping automatisé de métadonnées publiques à des débits très élevés (>100M numéros/heure).
- Inférence de métadonnées (OS, âge du compte, appareils liés) à partir d’attributs publics.
- Observation de réutilisation de clés comme signal de faiblesse côté clients non officiels.
Type d’article : publication académique décrivant une faiblesse de confidentialité et ses impacts, avec coordination éditeur et mitigations.
🔗 Source originale : https://www.univie.ac.at/en/news/detail/forscherinnen-entdecken-grosse-sicherheitsluecke-in-whatsapp