Une faille critique restée béante pendant 8 ans !? C'est en tout cas ce qu'affirment des chercheurs de l'université de Vienne. Ces derniers ont démontré que cette brèche permettait d'extraire massivement les numéros de téléphone des utilisateurs WhatsApp.
Des chercheurs autrichiens ont réussi à collecter 3,5 milliards de numéros de téléphone d'utilisateurs WhatsApp en exploitant une vulnérabilité pourtant signalée dès 2017. Cette faille reposait sur une fonctionnalité basique de la messagerie : la vérification automatique de présence d'un contact sur la plateforme.
Offre partenaire
Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.
Offre partenaire
Un mécanisme d'exploitation déconcertant de simplicité
Lorsqu'un utilisateur ajoute un numéro de téléphone à ses contacts, l'application vérifie tout de suite s'il correspond à un compte actif sur la messagerie et affiche généralement la photo de profil et le nom associé. Les chercheurs ont automatisé ce processus en testant toutes les combinaisons possibles de numéros. En seulement trente minutes, ils ont capturé les 30 premiers millions de numéros américains. Aucun système de protection n'avait été mis en place pour limiter le nombre de requêtes envoyées. "Nous étions un peu surpris", explique Gabriel Gegenhuber, l'un des chercheurs, "alors nous avons continué".
Ils ont ainsi pu extraire les numéros de téléphone de 3,5 milliards d'utilisateurs du service de messagerie. Pour environ 57% de ces utilisateurs, ils ont réussi à accéder à leurs photos de profil, et pour 29% supplémentaires, au texte de leurs profils. Dans les pays où la messagerie est particulièrement populaire, les chercheurs affirment avoir récupéré 750 millions de comptes en Inde et 206 millions au Brésil, avec, dans plus de 60% des cas, les photos de profils.
Une correction tardive et des interrogations persistantes
Selon Wired, qui rapporte l'affaire, Aljosha Judmayer, l'un des chercheurs, considère cette découverte comme "l'exposition la plus vaste de numéros de téléphone et de données utilisateur jamais documentée". Mais le plus préoccupant, c'est que Meta était au courant. Un premier chercheur en sécurité avait déjà identifié ce manque de protection en 2017 et alerté l'entreprise de Mark Zuckerberg. Pendant huit années, aucune mesure n'a donc été mise en œuvre. Les chercheurs autrichiens ont agi de manière responsable en supprimant leur base de données et en informant l'entreprise. Meta a ensuite pris six mois pour activer un système de limitation du débit des requêtes.
Meta affirme avoir déjà travaillé sur cette correction et assure n'avoir détecté aucun signe d'exploitation malveillante de la faille. Pourtant, on peut se demander comment la société n'a pas détecté d'activités suspectes pendant ces huit ans. Le système de limitation désormais en place empêche les requêtes massives automatisées. Il n'est donc plus possible d'extraire ces données.
Si des acteurs malveillants avaient exploité cette vulnérabilité avant sa correction, et rien ne dit que ce n'est pas le cas, les chercheurs estiment que cela aurait constitué "la plus grande fuite de données de l'histoire".
