Un simple bug dans WhatsApp a révélé 3,5 milliards de numéros de téléphone : la plus grande exposition de données de l'histoire

WhatsApp, l'application de messagerie la plus utilisée de la planète, fonde une partie de son succès sur la simplicité : il suffit d'ajouter un numéro au répertoire pour savoir si cette personne utilise la plateforme et pouvoir voir sa photo de profil. Ce que des millions d'utilisateurs percevaient comme une commodité est cependant devenu la porte d'entrée vers ce qui pourrait être le plus grand accès non autorisé aux données personnelles jamais documenté : l'exposition de pratiquement tous Comptes WhatsApp dans le monde entier.

Une équipe de chercheurs de l'Université de Vienne et de SBA Research a démontré que, sans techniques avancées ni intrusions, il était possible de reconstruire l'intégralité du répertoire de la plateforme, accédant à 3,5 milliards de numéros, ainsi qu'aux photos de profil, textes publics, clés cryptographiques et autres métadonnées sensibles.

Selon les auteurs eux-mêmes, si cette extraction massive avait été réalisée par des criminels et non dans le cadre d'une enquête menée par des professionnels de l'éthique, on parlerait de « la plus grande fuite de données de l'histoire ».

Quelle était l'erreur ?

WhatsApp vous permet de savoir si un numéro existe sur la plateforme simplement en l'ajoutant comme contact. Cette fonctionnalité, conçue pour faciliter la communication, ne présentait pas de limitations de vitesse ni de mécanismes anti-exploitation dans certaines interfaces, notamment dans WhatsApp Web.

Les chercheurs n’ont rien fait d’autre qu’automatiser ce que tout utilisateur peut faire manuellement :

  1. Générez des numéros valides du monde entier.
  2. Vérifiez WhatsApp si ces numéros avaient un compte.
  3. Téléchargez les données publiques associées.

Le système n'a pas détecté d'activité excessive ni bloqué les demandes, permettant d'effectuer 100 millions de contrôles par heure. Ainsi, entre décembre 2024 et avril 2025, avec seulement cinq comptes authentifiés et un serveur universitaire, ils sont parvenus à consulter 63 milliards de numéros et à confirmer 3,5 milliards de comptes actifs.

Quelles données ont été exposées

  • Numéros de téléphone : Les données de base, mais aussi les plus sensibles : un identifiant personnel unique et persistant.
  • Photos de profil et messages « info » : 57 % des utilisateurs avaient leur photo visible par n'importe quel inconnu, et 29 % montraient un texte public contenant des informations personnelles – parfois extrêmement sensibles – telles que des affiliations religieuses ou politiques ou même des liens vers des réseaux tels que Tinder ou OnlyFans. Rien qu’en Amérique du Nord, le téléchargement de photos visibles représentait 3,8 téraoctets d’images. Dans un échantillon, les deux tiers contenaient des visages reconnaissables par des algorithmes de reconnaissance faciale.
  • Clés cryptographiques et métadonnées techniques : De manière inattendue, les chercheurs ont également accédé à des clés publiques utilisées pour le chiffrement de bout en bout. Aucun message n'a été compromis, mais 2,9 millions de cas de réutilisation de clés ont été identifiés (un grave problème de sécurité).
  • Informations sur les appareils liés : WhatsApp a révélé le nombre d'appareils auxquels chaque compte était associé, des données qui peuvent suggérer des habitudes ou des pratiques d'utilisation suspectes (telles qu'une utilisation multiple sur des réseaux de spam).

Un risque inégal selon les pays

Les données nous ont permis de créer une carte détaillée de l’utilisation mondiale de WhatsApp. Parmi les découvertes les plus marquantes :

  • Inde : 749 millions de comptes ; 62% ont montré une photo publique.
  • Brésil : 206 millions ; 61% avec photo visible.
  • États-Unis : 137 millions ; 44% avec photo et 33% avec texte public.
  • Iran : 60 millions malgré l'interdiction actuelle de l'application, un risque énorme pour les utilisateurs si l'État avait eu accès à l'information.
  • Chine : 2,3 millions de comptes malgré l'interdiction officielle qui prévaut également en Chine concernant l'application Meta.

Une crise structurelle de la vie privée

Les chercheurs soulignent que la racine du problème n’est pas seulement l’absence de limites de requête, mais aussi l’utilisation même du numéro de téléphone comme identifiant universel. Numéros de téléphone :

  • Ils sont faciles à lister,
  • Ils suivent des modèles connus par pays,
  • Ils ne sont pas conçus pour servir d’informations d’identification secrètes.

Par conséquent, toute plate-forme basée sur ceux-ci est exposée à des attaques d’énumération massive. Sans un taux de requêtes extrêmement limité, la confidentialité dépend davantage de l’opacité du volume que de la sécurité réelle. WhatsApp semble en avoir pris note : il a déjà commencé à tester un système de nom d'utilisateur, qui pourrait réduire cette dépendance au numéro de téléphone.

Réponse de Meta : huit ans de retard

Le premier avertissement documenté concernant cette vulnérabilité remonte à 2017, lorsqu'un chercheur indépendant avait déjà démontré la possibilité d'énumérer des chiffres et des profils. Meta a ensuite répondu que l'application fonctionnait « comme prévu » et ne considérait pas la découverte d'un bug rémunérateur dans son programme de récompenses. En 2024 et 2025, les avertissements se sont multipliés, mais Meta n’a agi que lorsque la publication de l’étude était imminente.

Enfin, en octobre 2025, il a mis en œuvre une limitation du taux de requêtes qui bloque l’automatisation à grande échelle. L’entreprise insiste cependant sur ce qui suit :

  • toutes les informations exposées étaient « publiques »,
  • Il n'y a aucune preuve que des acteurs malveillants aient exploité la faille,
  • et les messages restaient toujours cryptés.

Les enquêteurs, de leur côté, affirment qu'ils n'ont trouvé aucune défense lors de l'extraction et qu'il n'est pas garanti que d'autres acteurs n'aient pas réalisé la même opération les années précédentes.

Conséquences potentielles : du spam au danger physique

La reconstruction de l’annuaire mondial WhatsApp ouvre la porte à de multiples dérives :

  • Escroqueries et spam : une base de 3,5 milliards de numéros actifs est de l'or pur pour les réseaux de phishing, les fraudes financières et les campagnes automatisées.
  • Doxxing et extorsion : Les photos publiques et les textes personnels permettent d'identifier des individus, d'être associés à des profils sociaux ou encore à des lieux, grâce à des éléments visibles dans les images.
  • Persécution étatique : Dans les pays où l'application est illégale, un simple dénombrement massif permettrait de détecter et de localiser ceux qui l'utilisent.
  • Vol d’identité et croisements avec d’autres fuites : l’exposition coïncide avec des bases de données précédemment divulguées, comme la fuite de Facebook en 2021, facilitant des corrélations dangereuses.

Que peuvent faire les utilisateurs ?

Bien que Meta ait corrigé le bug, l'exposition a déjà eu lieu. Les experts recommandent :

  • Configurez la photo de profil, les « informations » et la confidentialité de la connexion comme données visibles uniquement par vos contacts.
  • Évitez les informations personnelles sensibles dans la section « informations ».
  • Examinez les appareils liés et supprimez ceux inconnus.
  • Méfiez-vous des messages suspects, surtout s’ils proviennent de numéros étrangers.
  • Pensez à utiliser des alias ou des noms d'utilisateur lorsque la fonctionnalité est entièrement disponible.

Par | Filaire

Eric

Eric

Je m'appelle Eric, rédacteur passionné pour le média Prodiris, spécialisé dans les actualités du monde du web. Ma curiosité insatiable et mon expertise me permettent de déchiffrer les tendances numériques pour les partager avec précision et enthousiasme auprès de nos lecteurs.

Contact

[email protected]

Newsletter

Rejoignez notre newsletter pour des astuces chaque semaine