Vous est-il déjà arrivé de recevoir un message d’un numéro inconnu qui semblait pourtant savoir exactement qui vous étiez ? Moi, oui. Et depuis quelques jours, je me demande si ce genre de désagrément ne va pas devenir la norme.
Parce que oui, une nouvelle étude vient de mettre en lumière quelque chose d’absolument dingue : pratiquement tous les numéros de téléphone actifs sur WhatsApp peuvent être récupérés automatiquement, avec les photos de profil en bonus. On parle de 3,5 milliards d’entrées. Autant dire presque la moitié de la population mondiale.
La plus grosse fuite de l’histoire qui… n’en est pas vraiment une ?
Le plus fou dans cette histoire, c’est la simplicité de la méthode. Rien de bien sorcier : il suffit d’automatiser la fonction « recherche de contact » disponible sur la version web de la messagerie. Vous entrez un numéro, l’application vous dit si la personne a un compte, et hop, vous récupérez sa photo, son statut, parfois même la dernière connexion.
Multipliez ça par des milliards de numéros générés séquentiellement (les indicatifs pays + les suites logiques), et vous obtenez une base de données monstrueuse en quelques semaines seulement. Le tout sans jamais déclencher d’alerte, parce qu’il n’y avait aucune limite de requêtes.
J’ai du mal à y croire moi-même en l’écrivant. On parle quand même de l’application qui se vante d’avoir un chiffrement de bout en bout à toute épreuve. Sauf que là, le problème n’est pas dans le chiffrement des messages… mais dans la porte d’entrée grande ouverte qu’est l’annuaire.
Comment des chercheurs ont mis la main sur tout ça
Une étude menée de manière responsable a permis de récolter numéros de téléphone, photos de profil, statuts, clés publiques… Tout cela sans violer le moindre compte.
Les chercheurs à l’origine de cette découverte ont été clairs : ils n’ont rien piraté. Ils ont simplement utilisé les outils que l’application met à disposition de tout le monde, mais à une échelle industrielle. Un script qui tourne 24h/24, un peu de patience, et voilà.
Ils ont même pris soin d’avertir la maison-mère bien avant de rendre leurs travaux publics. Histoire qu’on ne leur reproche pas d’avoir vendu la mèche à des acteurs malveillants. D’ailleurs, ils assurent que les données récoltées resteront purement académiques.
Meta minimise : « Ce sont juste des infos publiques »
Nous travaillions déjà sur des systèmes anti-scraping de pointe, et cette étude a été essentielle pour tester leur robustesse.
Un responsable ingénierie de la messagerie
La réponse officielle fait sourire jaune. Selon eux, un numéro de téléphone associé à un compte WhatsApp et une photo de profil, c’est déjà « public » par défaut. Donc pas de fuite, circulez.
Sauf que dans les faits, personne n’avait jamais imaginé qu’on puisse récupérer tout ça à l’échelle planétaire aussi facilement. C’est un peu comme dire que votre plaque d’immatriculation est publique, donc il est normal que quelqu’un recense toutes les voitures de France en une nuit.
Qu’est-ce qui a été réellement exposé ?
- Le numéro de téléphone complet (indicatif inclus)
- La photo de profil (si l’utilisateur n’a pas restreint la visibilité)
- Le statut (« À propos »)
- La date de dernière connexion ou l’état « en ligne » au moment du test
- Les clés publiques de chiffrement (techniques, mais utiles pour des attaques avancées)
- Parfois, des informations sur les messages reçus (horodatages)
En combinant tout ça, on obtient un profil extrêmement précis de chaque utilisateur. Et surtout, une base prête à l’emploi pour du phishing massif, des arnaques sentimentales, ou pire.
Pourquoi c’est grave, même si « tout est public »
Imaginez : un escroc récupère votre numéro + votre photo + votre statut « En voyage à Bangkok jusqu’au 25 ». Il vous envoie un message « Salut c’est moi depuis mon nouveau numéro thaï, j’ai perdu mon téléphone, tu peux m’envoyer 800 € en urgence ? ».
Le taux de réussite explose quand l’arnaqueur a l’air de vous connaître. Et là, avec 3,5 milliards de profils sous la main, on passe du petit artisanat à l’industrie lourde de l’escroquerie.
Sans parler des gouvernements ou des entreprises de marketing qui adoreraient croiser ces données avec d’autres bases (réseaux sociaux, fichiers clients…).
Et nous, simples utilisateurs, on fait quoi maintenant ?
Première chose : aller dans les paramètres de confidentialité de WhatsApp et mettre un maximum de restrictions.
- Photo de profil → « Mes contacts uniquement » (ou « Personne » si vous êtes parano)
- Statut → même chose
- Dernière connexion → « Mes contacts uniquement »
- Confirmation de lecture (les coches bleues) → désactiver si vous voulez
Mais soyons honnêtes : ça ne règle pas le problème du numéro en lui-même. Tant que la fonction recherche reste ouverte à tous, votre numéro reste découvrable dès lors que quelqu’un le teste.
L’idéal serait que l’application impose une limite stricte de requêtes ou un CAPTCHA sur la version web. Apparemment, des mesures anti-scraping renforcées sont en cours de déploiement depuis cette révélation.
Une faille qui pose des questions plus larges
Ce qui me frappe le plus, c’est à quel point on accepte collectivement que notre numéro de téléphone soit devenu une clé d’identité universelle. On le donne à notre banque, à notre opérateur, à notre appli de livraison de sushis… Et on s’étonne ensuite qu’il se retrouve partout.
WhatsApp n’est pas le seul fautif. Toutes les messageries qui utilisent le numéro comme identifiant (Telegram en mode par défaut, Signal aussi si on ne fait pas gaffe) sont concernées par ce genre de risque.
À quand une vraie réflexion collective sur l’utilisation d’identifiants anonymes ? Des pseudos, des adresses mail jetables, n’importe quoi plutôt que ce sésame ultra-sensible qu’est devenu le numéro de portable.
En résumé : faut-il paniquer ?
Non, pas forcément. Les chercheurs n’ont rien publié, et les mesures correctives semblent en cours. Mais cette histoire nous rappelle brutalement que la vie privée en ligne, c’est un combat permanent.
Aujourd’hui c’est WhatsApp. Demain, ce sera une autre application qui aura laissé traîner une porte ouverte. L’important, c’est de rester vigilant, de limiter au maximum ce qu’on expose, et de ne jamais cliquer sur un lien douteux, même s’il vient d’un « ami en galère à l’étranger ».
Parce que mine de rien, 3,5 milliards de numéros, ça fait beaucoup de portes d’entrée pour les arnaqueurs du monde entier. Et quelque part, la vôtre est probablement dedans.
Alors, vous avez déjà vérifié vos paramètres de confidentialité ce matin ?
