Des chercheurs autrichiens dévoilent une faille WhatsApp permettant d’aspirer les numéros, photos et statuts publics; limitation imposée en octobre 2025.
© E. Vartanyan
Des chercheurs autrichiens affirment avoir mis au jour un problème sérieux dans WhatsApp: le service permettait de facto à quiconque d’aspirer les numéros de téléphone de l’ensemble de ses 3,5 milliards d’utilisateurs. Et nul besoin d’effraction: de simples vérifications mécaniques de numéros via la version web suffisaient.
WhatsApp est conçu pour qu’il suffise d’entrer un numéro de téléphone pour retrouver un contact. Le système indique aussitôt si la personne est inscrite et affiche les détails de profil laissés publics. Les chercheurs ont transposé ce geste banal à l’échelle industrielle, automatisant la procédure pour tester des millions de numéros par heure.
Dans leur expérience, ils ont pu collecter les numéros de tous les utilisateurs et accéder aux photos de profil d’environ 57% des comptes, ainsi qu’aux statuts textuels d’environ 29% des utilisateurs — en somme, tout ce que les personnes avaient laissé en accès libre.
Le problème a perduré des années: des avertissements sur une vulnérabilité similaire étaient parvenus aux développeurs dès 2017, mais une limitation de débit n’a été instaurée qu’en octobre 2025 — de longues années durant lesquelles les utilisateurs ont potentiellement été exposés. Pour une plateforme de cette taille, la correction arrive tard, et le décalage entre l’ampleur du risque et la réactivité interroge.
Les développeurs soutiennent que les données en cause relevaient d’informations de base, visibles uniquement dans la mesure où les utilisateurs avaient choisi de les rendre publiques. Ils indiquent également n’avoir trouvé aucune preuve d’un usage délibérément malveillant de cette faiblesse et précisent que les chercheurs n’ont accédé à aucune donnée privée. Reste que l’épisode rappelle à quel point une fonction anodine, poussée au maximum, peut devenir un outil de collecte massive.