Des chercheurs de l’Université de Vienne et de SBA Research ont réalisé quelque chose d’assez étonnant : ils ont pu récupérer tous les numéros WhatsApp existants. En fait, ils ont pu visualiser et analyser un incroyable 3,5 milliards de profils WhatsAppce qui en fait l’un des plus grands efforts de collecte de données de l’histoire.
Selon les chercheurs, tous les profils WhatsApp existants n’étaient pas protégés sur le Web et ils ont pu télécharger tous les numéros de téléphone et les données de profil associées. Les chercheurs ont informé Meta (propriétaire de WhatsApp) de cette fuite en septembre 2024, mais la société de Mark Zuckerberg n’a pas répondu dans un premier temps. (D’ailleurs, Meta est poursuivi en justice par un ancien chef de la sécurité de WhatsApp !)
Le désintérêt initial de Meta est d’autant plus surprenant quand on considère tout ce qui ressort de ces données librement accessibles. Par exemple, nous pouvons déterminer combien d’utilisateurs WhatsApp il y a par pays et comment ils sont répartis entre Android et iOS. L’Inde compte le plus d’utilisateurs de WhatsApp, suivie par l’Indonésie et le Brésil.
L’association de comptes WhatsApp à certains pays n’est pas aussi anodine qu’il y paraît. Dans les États autoritaires où l’utilisation de WhatsApp est interdite et/ou surveillée, comme la Corée du Nord, la Chine et le Myanmar, la vie des propriétaires de certains numéros de téléphone peut être dangereuse si les organismes de surveillance de l’État peuvent analyser ces données.
Données sensibles librement accessibles
Environ 30 % des utilisateurs de WhatsApp ont saisi des informations détaillées les concernant dans leur profil WhatsApp, notamment leur orientation sexuelle et/ou leurs opinions politiques. Certains utilisateurs ont même mentionné leurs habitudes en matière de drogue, tandis que d’autres (qui sont évidemment des trafiquants de drogue) ont mentionné leur approvisionnement en drogue et leurs opérations. Les liens vers Tinder et OnlyFans publiés sur WhatsApp étaient également librement accessibles.
Certains profils WhatsApp ont également été enregistrés à l’aide d’adresses e-mail associées à des organisations gouvernementales et militaires. De nombreux profils contenaient des photos sur lesquelles les utilisateurs pouvaient être clairement identifiés.
En d’autres termes, toutes ces données WhatsApp librement accessibles pourraient être utilisées pour synthétiser des identités complètes avec numéros de téléphone, photos, préférences et adresses e-mail. Les chercheurs ont également découvert des problèmes de sécurité avec certaines clés publiques des comptes WhatsApp.
Que pouvez-vous faire à ce sujet
Sur la base des résultats, nous recommandons à tous les utilisateurs de WhatsApp de limiter au maximum les informations de leur profil et de s’abstenir de publier des photos dans lesquelles ils peuvent être identifiés. De plus, ne fournissez aucun lien vers des profils de rencontres ou d’autres sites qui pourraient vous être préjudiciables.
Le document de recherche complet, intitulé « Hé là ! Vous utilisez WhatsApp : énumérer trois milliards de comptes pour la sécurité et la confidentialité » – est publié gratuitement sur GitHub.
