brève actu
Une vulnérabilité WhatsApp a permis la collecte de 3,5 milliards de comptes. Meta a patché cette faille, lui permettant de renforcer sa sécurité.
Une équipe de chercheurs de l’Université de Vienne a révélé une faille dans WhatsApp qui a permis l’exposition de 3,5 milliards de comptes utilisateurs. Ce problème de sécurité, désormais corrigé par Meta, a mis en lumière des vulnérabilités dans le mécanisme d’énumération des numéros de téléphone de la plateforme.
Cette faille a permis d’accéder à des informations sensibles telles que les numéros de téléphone, les photos de profil et les clés publiques de chiffrement. L’ampleur de cette exposition a soulevé des préoccupations quant à la sécurité des données des utilisateurs de WhatsApp à travers le monde.
Une faille critique dans l’énumération des numéros de téléphone
Les chercheurs ont découvert que la méthode utilisée par WhatsApp pour permettre aux utilisateurs de découvrir des contacts via des requêtes de numéros de téléphone rendait la plateforme vulnérable à une énumération massive. En effet, malgré la mise en place de limitations de taux standard, il a été possible de sonder plus de 100 millions de numéros par heure sans être bloqué. Selon Security Affairs, cela a permis de révéler que près de la moitié des numéros exposés lors de la fuite de données de Facebook en 2021 sont toujours actifs sur WhatsApp.
Offrez un café pour soutenir cette veille indépendante.
☕ Je soutiens DCODEn outre, les chercheurs ont pu générer des numéros de téléphone plausibles pour 245 pays, réduisant les candidats globaux à 63 milliards. Grâce à cette technique, ils ont analysé 3,5 milliards de comptes WhatsApp, collectant des données telles que les numéros de téléphone, les photos de profil, les textes de statut et les clés publiques de chiffrement de bout en bout (E2EE). Ce travail a abouti à l’une des plus grandes bases de données étudiées de manière éthique. Comme le rapporte Wired, cette découverte met en lumière l’impact à long terme de telles fuites de données et la visibilité des informations des utilisateurs sur la plateforme, malgré le chiffrement de bout en bout.
L’analyse des données recueillies a révélé des informations critiques concernant l’utilisation des clés de chiffrement E2EE. Les chercheurs ont constaté une réutilisation extensive de certaines clés à usage unique sur plusieurs appareils, ce qui indique des implémentations potentiellement non sécurisées ou des tentatives de fraude. Dans certains cas, des numéros américains ont même utilisé une clé privée composée uniquement de zéros, ce qui suggère des générateurs de nombres aléatoires défectueux ou des logiciels non standard.
Meta a tenté de minimiser l’incident en affirmant qu’aucun message, contact ou donnée privée n’avait été exposé, et que seules les photos de profil et les textes de statut étaient visibles si les utilisateurs avaient réglé leurs paramètres sur « tout le monde ». Les mesures correctives ont été mises en œuvre selon les informations recueillies par les chercheurs de sécurité.
A relire aussi
L’ancien chef de la sécurité de WhatsApp poursuit Meta pour défaillances
Meta est accusée de graves manquements à la sécurité de WhatsApp par son ancien chef de la sécurité, qui a intenté une action en justice…
💡 Ne manquez plus l'essentiel
Recevez les analyses et tendances cybersécurité directement dans votre boîte mail.
💡 Note : Certaines images ou extraits présents dans cet article proviennent de sources externes citées à des fins d’illustration ou de veille. Ce site est indépendant et à but non lucratif. 👉 En savoir plus sur notre cadre d’utilisation.
Vous appréciez ces analyses ?
Soutenez DCOD en offrant un café ☕
