Chercheur duUniversité de Vienne découvert un bug qui leur permet de sucer 3,5 milliards de numéros de téléphone enregistré sur WhatsApp.
En tirant parti des API Contact Discovery, cette fonctionnalité qui vous permet de retrouver vos amis par numéro, ils ont pu effectuer des requêtes plus de 100 millions de comptes par heure. Meta a corrigé la vulnérabilité et a remercié les chercheurs dans le cadre de son programme de bug bounty. Mais cette attaque met en lumière un problème structurel : votre numéro WhatsApp n’est jamais véritablement privé.
L’erreur est basée sur un mécanisme connu. Pour faciliter la recherche de contacts, WhatsApp propose API de découverte relier les numéros de téléphone et les comptes d’utilisateurs. Vous saisissez un numéro, l’API vous indique si un compte WhatsApp existe, et peut afficher la photo de profil ou le texte « À propos » si l’utilisateur les a rendus visibles. Ce système est essentiel au fonctionnement de l’application, mais il ouvre également la porteliste massive : Testez des millions de nombres pour représenter la base d’utilisateurs.
Des mesures de protection sont en place pour prévenir ce type d’attaque, limiter le nombre de requêtes, détecter les comportements suspects, etc.
Mais les chercheurs autrichiens les ont contournés. Ils pourraient scanner plus de 100 millions de numéros par heure via l’infrastructure WhatsApp et confirme l’existence de 3,5 milliards de comptes actifs distribué dans 245 pays. L’ensemble de la base d’utilisateurs mondiale.
Ce que montre cette cartographie approfondie
Les chercheurs ne se sont pas contentés de collecter des chiffres. Ils ont analysé les données à extraire informations statistiques. Vous avez créé une photo unique de l’utilisation de WhatsApp dans le monde.
Première découverte : WhatsApp a Des millions d’utilisateurs actifs dans les pays où son utilisation est officiellement interdite. Chine, Iran, Birmaniede nombreuses régions où les utilisateurs utilisent des VPN pour contourner la censure. La répartition par système d’exploitation confirme la domination d’Android : 81% des utilisateurs sont sur le système Google, cependant 19% sur iOS.
L’analyse des photos de profil montre différences culturelles marqué. Certains pays affichent largement des photos personnelles, d’autres préfèrent l’anonymat ou des images génériques. Les chercheurs ont également comparé leur base de données avec 500 millions de numéros qui a été divulgué vers 2021 moitié sont toujours utilisés quatre ans plus tard.
Enfin, l’analyse des métadonnées du compte (ancienneté, nombre d’appareils connectés) permet une traçabilité Profils d’utilisation : utilisateurs occasionnels, comptes professionnels multi-appareils, comptes abandonnés puis réactivés. Des informations précieuses pour quiconque souhaite cibler des utilisateurs spécifiques.
Meta corrige, mais le problème sous-jacent demeure
Méta a remercié les chercheurs publié dans le cadre de son programme de bug bounty et a affirmé avoir corrigé la vulnérabilité. L’entreprise dit qu’elle y travaille déjà Systèmes anti-grattoirs sont plus robustes et que ces recherches ont permis de tester leur efficacité. Les chercheurs ont supprimé les données collectées et Meta affirme n’avoir rien observé pas d’utilisation malveillante de l’erreur.
« Grâce à cela, les messages des utilisateurs sont restés privés et sécurisés Chiffrement de bout en bout par défaut par WhatsApp et aucune donnée non publique n’était accessible aux chercheurs », précise l’entreprise. C’est vrai : les conversations elles-mêmes n’ont pas été affectées. Cependant, l’accès aux numéros de téléphone, aux photos de profil et aux métadonnées du compte reste Problème de confidentialité.
La racine du problème ? Cette erreur n’a rien de nouveau. C’est un vulnérabilité structurelle est lié au fonctionnement de WhatsApp. Pour activer la découverte de contacts, l’application doit être capable d’associer des numéros et des comptes. Et dès qu’une API permet cette association, elle peut être exploitée à grande échelle. Les protections existent, mais elles sont toujours là contournable avec suffisamment de détermination et de ressources.
Meta peut renforcer ses défenses. Cependant, tant que WhatsApp utilisera les numéros de téléphone comme identifiant principal, ces types d’attaques continueront à se produire. théoriquement possible. D’autres services de messagerie comme signal Ou télégramme je suis confronté au même dilemme. La solution ? Passer à identifiants anonymes séparé du numéro de téléphone. Cependant, cela rendrait la reconnaissance des contacts beaucoup plus difficile – une des raisons du succès de WhatsApp.
Rejoignez-nous pour le spectacle un mercredi sur deux de 17h à 19h OUVRIR produit par Frandroïde Et Numéroma ! Actualités tech, interviews, conseils et analyses… Rendez-vous en live sur Twitch ou en replay sur YouTube !