Le protocole de chiffrement multi-appareils de WhatsApp permettait d'identifier le système d'exploitation des utilisateurs. Cette faille donnait aux attaquants un avantage pour déployer des malwares adaptés à chaque plateforme. Meta a discrètement corrigé une partie du problème, mais la vulnérabilité persiste.
WhatsApp revendique plus de 3 milliards d'utilisateurs actifs chaque mois. L'application mise sur son chiffrement de bout en bout pour protéger les conversations. Pourtant, des métadonnées liées au fonctionnement multi-appareils échappaient à cette protection.
Offre partenaire
Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.
Offre partenaire
Quand les clés de chiffrement trahissent votre smartphone
La fonction multi-appareils crée une session distincte pour chaque terminal connecté. WhatsApp génère alors des identifiants cryptographiques uniques : les Signed Pre-Key ID et One-Time Pre-Key ID. Ces valeurs présentent des différences selon la plateforme. Sur Android, le Signed Pre-Key ID s'incrémentait lentement depuis zéro, avec une progression mensuelle. Sur iOS, les valeurs suivaient un schéma radicalement différent.
Un attaquant pouvait interroger les serveurs WhatsApp pour récupérer ces informations sans aucune interaction avec la victime. Aucune notification n'apparaissait pendant cette reconnaissance discrète. Cette technique d'empreinte digitale permettait potentiellement d'opérer des attaques ciblées : les pirates étaient en mesure d'identifier le système d'exploitation avant de déployer un exploit adapté, par exemple en ciblant uniquement les terminaux Android sans alerter les possesseurs d'iPhone.
Le chercheur Tal Be'ery explique avoir déjà exposé des fuites similaires lors de la conférence WOOT'24 en août 2024, en expliquant comment le nombre et le type d'appareils connectés pouvaient être identifiés. Gabriel Karl Gegenhuber et son équipe ont ensuite détaillé cette vulnérabilité d'identification d'OS lors de WOOT'25. Les chercheurs ont démontré que ces informations pouvaient être enchaînées pour mener des attaques de type APT (Advanced Persistent Threat), comme par exemple avec un spyware de type Paragon.
Un correctif partiel déployé en silence
Meta avait initialement blayé le problème. uis, discrètement, l'équipe de WhatsApp a modifié l'attribution des Signed Pre-Key ID sur Android pour rendre l'identification impossible. En revanche, le One-Time Pre-Key reste vulnérable : iOS génère des valeurs basses qui augmentent régulièrement, tandis qu'Android utilise toute la plage aléatoire disponible. De fait, les outils de surveillance se sont rapidement adaptés et parviennent toujours à distinguer les systèmes d'exploitation. Tal Be'ery espère que WhatsApp déploiera un correctif similaire sur iOS.
WhatsApp n'a pas communiqué auprès des chercheurs suite à la publication de ce patch. D'ailleurs l'entreprise n'a pas attribué de CVE, ni versé de prime dans le cadre de son programme de bug bounty. Du côté des utilisateurs, il convient donc de limiter les appareils connectés à leur compte et de surveiller toute activité suspecte dans les paramètres de l'application.
