Une équipe de chercheurs autrichiens a réussi à extraire 3,5 milliards de numéros de téléphone d’utilisateurs WhatsApp en exploitant un mécanisme de découverte de contacts… D’autres informations ont pu être récupérées. Même si ce chiffre est monstrueux, le résultat n’est pas surprenant.

Une faille de découverte de contacts exploitée à grande échelle

Pour collecter l’ensemble de ces données, les chercheurs autrichiens n’ont pas eu besoin d’utiliser des techniques d’intrusion avancées pour obtenir et extraire ces données : ils se sont simplement appuyés sur le système de découverte de contacts de l’application WhatsApp.

Le procédé utilisé par les chercheurs est le suivant :

• Enregistrer un à un tous les numéros de téléphone possibles,
• Interroger l’interface Web de WhatsApp,
• Identifier lesquels correspondent à un compte (et collecter les données).

Résultat : 3,5 milliards de numéros associés à un utilisateur WhatsApp, ce qui correspond au nombre d’utilisateurs actifs sur la plateforme. Parmi eux, plus de la moitié donnaient accès à la photo de profil et près d’un tiers révélaient le statut (message associé au compte WhatsApp). Le rapport publié par les chercheurs montre qu’ils sont parvenus à collecter des informations sur près de 54 millions d’utilisateurs français. Les utilisateurs de WhatsApp sur Android et iOS sont affectés par cette vulnérabilité, car elle est liée aux serveurs de WhatsApp.

Cette énumération n’est pas surprenante, elle fait partie du mécanisme de mise en contact de WhatsApp. Je l’ai moi-même déjà constaté à plusieurs reprises : vous ajoutez un numéro de téléphone dans vos contacts, vous accédez ensuite à la liste des contacts via WhatsApp, et si un compte WhatsApp est rattaché à ce numéro, vous verrez la photo de profil et le statut de la personne (selon la configuration du compte).

Là, ce qui est gênant, c’est la possibilité d’effectuer une énumération à grande échelle sans être perturbé par un mécanisme de rate-limit (pour limiter à X requêtes par heure, par exemple). “Dans notre étude, nous avons pu tester plus d’une centaine de millions de numéros de téléphone par heure sans rencontrer de blocage ni de limitation efficace du débit.“, précisent les chercheurs. À ce rythme, il est très rapide de tester des milliards de valeurs.

Ce qui est gênant, c’est que Meta ne fait rien alors que cette vulnérabilité n’est pas nouvelle. Dès 2017, un chercheur avait déjà signalé ce problème de sécurité à Meta, sans que l’entreprise ne modifie son système ou n’introduise de mécanisme pour limiter le nombre de requêtes.

En octobre 2025, Meta est – enfin – passé à l’action

Ici, la collecte des informations a été réalisée dans un cadre éthique et les chercheurs ont supprimé les données. “À notre connaissance, il s’agit de l’exposition la plus étendue de numéros de téléphone et de données associées jamais documentée.”, explique Aljosha Judmayer, l’un des auteurs de la découverte.

Avant la publication de leur rapport sur GitHub, les chercheurs ont pris contact avec Meta en avril dernier. Suite à ce signalement, Meta a enfin pris au sérieux cette vulnérabilité. En effet, en octobre 2025, Meta a enfin mis en place un mécanisme de rate-limit pour restreindre le nombre de requêtes autorisées pour rechercher un contact.

L’entreprise, qui a tout de même récompensé l’équipe via son programme Bug Bounty, a tenté de relativiser l’affaire, considérant qu’il ne s’agissait que “ d’informations publiques basiques“. Meta affirme également n’avoir trouvé aucune preuve de l’exploitation de cette vulnérabilité par des personnes malintentionnées.

Comment limiter l’exposition des informations ?

À partir des paramètres de l’application WhatsApp (cliquez sur les trois points en haut à droite, puis “Paramètres“), vous pouvez ajuster les paramètres de confidentialité via la section nommée “Confidentialité“. Par exemple, vous pouvez décider de restreindre l’affichage de la photo de profil uniquement à vos contacts, tout comme le statut.

Qu’en pensez-vous ?

Source