Meta a déployé un système de limitation des requêtes sur WhatsApp après que des chercheurs ont démontré comment ils ont pu aspirer les données de 3,5 milliards de comptes. Ce patch de sécurité arrive tard, très tard.
La messagerie la plus populaire au monde a finalement réagi. Suite aux révélations des chercheurs de l'université de Vienne et du laboratoire SBA Research, Meta a commencé à implémenter des restrictions plus strictes sur son API de découverte de contacts. Cette correction intervient six mois après la divulgation responsable effectuée en avril auprès du programme de bug bounty de l'entreprise, mais 8 ans après qu'un autre chercheur a également signalé la faille.
Offre partenaire
Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.
Offre partenaire
Une exposition massive de métadonnées
L'API de WhatsApp permettait à n'importe quelle application d'interroger si un numéro de téléphone correspondait à un compte enregistré. Les chercheurs ont envoyé environ 7 000 requêtes par seconde depuis une seule adresse IP sans jamais être bloqués, ni subir de limitation de débit. Au total, ils ont pu vérifier plus de 100 millions de numéros par heure.
Au-delà de la simple identification des comptes actifs, les chercheurs ont pu collecter les photos de profil publiques pour environ deux tiers des utilisateurs américains, ainsi que les textes "À propos" configurés par certains. Ces derniers y affichaient des opinions politiques, leur orientation sexuelle, des affiliations religieuses ou même des liens vers des comptes OnlyFans et des adresses professionnelles d'organisations sensibles.
L'analyse a également révélé des millions de comptes actifs dans des pays où WhatsApp est officiellement interdit : près de 60 millions en Iran avant la levée de l'interdiction, 2,3 millions en Chine, 1,6 million au Myanmar et même… 5 en Corée du Nord.
Les risques persistants pour les utilisateurs
Ces données, combinées à des outils de reconnaissance faciale alimentés par l'intelligence artificielle, pourraient permettre la création d'un "annuaire inversé" où une simple photo suffirait à identifier une personne et à retrouver son numéro de téléphone. Autant dire que pour les utilisateurs vivant sous des régimes autoritaires, cette exposition représente un danger réel.
Nitin Gupta, vice-président de WhatsApp, affirme que l'entreprise travaillait déjà sur des "systèmes anti-scraping de pointe" et assure n'avoir détecté aucune exploitation malveillante. Toutefois, les chercheurs soulignent que rien ne garantit qu'ils aient été les premiers à exploiter cette brèche.
En attendant, les utilisateurs peuvent limiter les dégâts futurs en paramétrant la visibilité de leur photo de profil et de leur texte "À propos" sur l'option "Contacts uniquement". Quant aux données potentiellement déjà aspirées, contrairement aux mots de passe, les numéros de téléphone changent rarement : 58% des numéros issus de la fuite Facebook de 2021 correspondent toujours à des comptes WhatsApp actifs.
Source : Malwarebytes
