WhatsApp : 1500 ingénieurs auraient eu accès à toutes vos données

Un ancien salarié poursuit Meta pour licenciement abusif. La raison ? La firme n'aurait pas apprécié qu'il signale des failles de sécurité compromettant ses obligations légales.

Véritable paradis pour les fraudeurs en tous genres de notre pays, WhatsApp est loin d'être sans risques : failles zero-day, vulnérabilité des pièces jointes, exposition de données privées, arnaques par appel vidéo et bien d'autres problèmes ont déjà été pris en charge par la plateforme. Mais il semblerait que cela aille encore plus loin et un ex-employé en a, semble-t-il, fait les frais. On vous explique.

De "graves risques pour les données des utilisateurs"

Voilà une façon bien étrange de récompenser un employé qui tente d'améliorer la sécurité d'une entreprise. Embauché par WhatsApp en 2021, Attaullah Baig s'est mis à dos toute sa hiérarchie en signalant « des défaillances systémiques de cybersécurité qui présentaient de graves risques pour les données des utilisateurs et violaient les obligations légales de Meta ».

En 2022, après avoir réalisé des tests de sécurité, Baig a signalé à ses supérieurs que l'entreprise n'avait réalisé aucun inventaire des données de ses utilisateurs, qu'elle ne savait pas où ces informations étaient stockées et que les violations de données ne pouvaient être détectées. Pire, les comptes étaient insuffisamment protégés contre les prises de contrôle par des tiers, qui étaient estimées à 100 000 par jour. Comme si cela ne suffisait pas, 1500 ingénieurs de l'entreprise avaient également un « accès illimité aux données des utilisateurs ».

Après avoir exprimé ses inquiétudes plusieurs fois en 2022 et 2023 et subi de nombreuses représailles, Baig a écrit en janvier 2024 à Mark Zuckerberg, PDG de Meta, ainsi qu'à une conseillère juridique pour les informer des violations en cours. Il a également porté plainte en novembre 2024 auprès de la Securities and Exchange Commission des États-Unis. Licencié en février dernier, suite à des évaluations de performance qu'il juge inexactes, il a décidé de porter plainte.

Meta rejette les accusations de son ex-employé

Dans sa plainte, Baig explique qu'il a remonté à Mark Zuckerberg des « preuves que l'équipe de sécurité centrale avait falsifié des rapports de sécurité pour dissimuler les décisions de ne pas remédier aux risques d'exfiltration de données ». Il indique également que Nitin Gupta, responsable de l'ingénierie chez WhatsApp, aurait menti à la Commission de protection des données irlandaise (DPC). Ce dernier aurait notamment dit que WhatsApp n'avait pas accès aux données de ses utilisateurs, ce qui serait, d'après l'ex-employé, totalement faux.

Interrogé par The Register au sujet de l'affaire, Carl Woog, vice-président de la communication chez WhatsApp, s'est voulu rassurant : « Malheureusement, il s'agit d'un scénario courant : un ancien employé est licencié pour mauvaise performance, puis publie des allégations déformées qui dénaturent le travail acharné de notre équipe. La sécurité est un domaine conflictuel et nous sommes fiers de consolider notre solide expérience en matière de protection de la vie privée. »

Ce ne serait, cependant, pas la première fois que WhatsApp ferait face à un problème de confidentialité. En 2021, la DPC irlandaise avait déjà condamné la société à une amende de 250 millions d'euros. En 2023, elle avait écopé d'une autre peine pour violation de la vie privée de ses utilisateurs et dû régler 5,5 millions d'euros. En mai de la même année, Meta, la maison-mère de WhatsApp avait aussi été sanctionnée et avait dû payer une amende record de 1,2 milliards d'euros pour avoir enfreint le RGPD.

Un dossier à suivre de près pour connaître le fin mot de l'histoire.

Source : The Register