Selon le blog de Korben (8 décembre 2025), des chercheurs de l’Université de Vienne ont présenté « Careless Whisper », une attaque récompensée Best Paper à RAID 2025, montrant comment exploiter les accusés de réception de WhatsApp (et Signal) pour surveiller un utilisateur à distance sans notification.

• L’attaque s’appuie sur des accusés de réception silencieux déclenchés via l’envoi de réactions à des messages inexistants. L’utilisateur ne voit rien (pas de notif, pas de message visible), tandis que l’attaquant mesure les temps de réponse du téléphone pour en tirer des informations. 🕵️

• L’analyse de timing permet d’inférer des métadonnées sensibles : écran allumé/éteint, WhatsApp au premier plan, système d’exploitation, nombre d’appareils liés au compte, et même horaires de sommeil. Tout se fait sans interaction ni alerte côté victime.

• Impact majeur sur WhatsApp : l’app autorise des payloads de réaction jusqu’à 1 Mo, permettant de générer jusqu’à 13 Go de trafic/heure et de drainer la batterie de 15 à 18%/heure. Les chercheurs indiquent que Signal est aussi vulnérable, mais la situation est « pire » sur WhatsApp du fait de ces limites plus larges. 🪫

• Chronologie et réponse éditeur : la faille a été signalée à Meta en septembre 2024 (accusé de réception mentionné), sans correctif à ce jour selon l’article. Signal n’a pas répondu.

• Outils et atténuation : un outil open source de test responsable permet de traquer en temps réel l’activité d’un numéro (pour usage sur son propre matériel). Korben note qu’un réglage WhatsApp (Paramètres → Confidentialité → limiter aux « Mes contacts ») réduit l’exposition des accusés de réception, sans tout régler. 🧪

TTPs observés

  • Exploitation des accusés de réception comme canal auxiliaire (side-channel timing)
  • Réactions à des messages inexistants pour déclencher des réponses silencieuses
  • Mesure de latence pour inférer l’état de l’appareil et l’activité de l’utilisateur
  • Abus de payloads de 1 Mo pour générer 13 Go/h de trafic et drain de batterie 15–18%/h

IOCs

  • Aucun indiqué dans l’article (pas de malware ni d’infrastructure malveillante identifiée)

Il s’agit d’un article de vulgarisation relayant une publication de recherche avec preuve de concept (PoC) et éléments d’impact.

🔗 Source originale : https://korben.info/careless-whisper-whatsapp-tracking-silencieux.html