Fuite de données massive : comment 3,5 milliards de numéros WhatsApp ont été exposés

La découverte est aussi simple qu'alarmante. En testant systématiquement tous les numéros de téléphone possibles via la fonction de recherche de contacts de WhatsApp, des chercheurs de l'Université de Vienne ont pu récolter 3,5 milliards de numéros - la quasi-totalité des utilisateurs du service. Pour 57% d'entre eux, ils ont également pu accéder à leur photo de profil, et pour 29% à leur texte de statut. Le plus surprenant dans cette découverte : l'absence totale de limitation technique. Les chercheurs ont pu vérifier environ 100 millions de numéros par heure sans rencontrer le moindre système de protection. "Si nous avons pu récupérer ces données si facilement, d'autres auraient pu faire de même", souligne Max Günther, l'un des chercheurs.

Meta prévenu depuis 2017

Ce n'est pourtant pas la première alerte. Dès 2017, le chercheur néerlandais Loran Kloeze avait signalé cette même vulnérabilité. À l'époque, Meta (alors Facebook) avait estimé que les paramètres de confidentialité fonctionnaient comme prévu et avait même refusé une prime au chercheur. Il aura fallu attendre octobre 2025 pour que l'entreprise mette en place des limites efficaces. Les implications de cette exposition sont multiples. Les numéros pourraient être utilisés par des spammeurs et escrocs, mais présentent aussi des risques politiques : les chercheurs ont identifié 2,3 millions d'utilisateurs en Chine et 1,6 million au Myanmar, pays où WhatsApp est officiellement interdit. Ces gouvernements auraient pu utiliser la même méthode pour identifier les utilisateurs illégaux.

Problème structurel : le numéro de téléphone, un identifiant trop faible

Au-delà de cette faille spécifique, les chercheurs pointent un problème fondamental : l'utilisation du numéro de téléphone comme identifiant unique. "Les numéros de téléphone n'ont pas été conçus pour être des identifiants secrets", explique Aljosha Judmayer. Dans un service utilisé par plus d'un tiers de la population mondiale, ce mécanisme de découverte devient un risque systémique. Si Meta affirme avoir résolu le problème et remercie les chercheurs pour leur travail, cette affaire soulève des questions plus larges sur la sécurité des applications grand public. Alors que WhatsApp teste actuellement un système de noms d'utilisateur, cette solution alternative pourrait enfin offrir une meilleure protection pour des milliards d'utilisateurs.