Pendant huit ans, Meta n’a absolument rien fait et a laissé une faille béante dans WhatsApp. Pourtant, l’entreprise a été avertie en 2017. Une négligence qui aurait permis de dérober 3,5 milliards de numéros de téléphone, selon les chercheurs de l’Université de Vienne.
La sécurité chez Meta, c’est une grande préoccupation. Et les chercheurs autrichiens de l’Université de Vienne pointent du doigt une faille béante qui frappe WhatsApp. On parle quand même de 3,5 milliards de numéros de téléphone dérobés. Et sans doute le vôtre dans la liste. Mais alors, comment les pirates ont-ils fait ? On vous explique tout.
Une faille ancienne de 8 ans qui mettait en danger les utilisateurs de WhatsApp
La faille repose sur une fonctionnalité de WhatsApp. L’application permet de vérifier tout de suite si un numéro de téléphone correspond à un compte actif en affichant la photo de profil et le nom. Sauf que voilà, cette possibilité qu’apprécient les utilisateurs cachait un défaut : aucune limite n’existait sur le nombre de vérifications possibles.
C’est en 2017 qu’un chercheur a repéré ce problème et a alerté Meta de la possibilité d’automatiser massivement ces requêtes. L’équipe de l’Université de Vienne a reproduit l’attaque avec une efficacité pour le moins terrifiante. Les 30 premiers millions de numéros de téléphone étasuniens ont été récupérés en seulement 30 minutes, avant que les chercheurs ne poursuivent leur collecte méthodique.
Selon eux, n’importe qui a pu mener cette attaque, même avec de faibles connaissances informatiques et une infrastructure serveur de base. Aljosha Judmayer, membre de l’équipe de recherche de l’Université de Vienne, parle d’une ampleur historique face à cette faille : “À notre connaissance, cela marque l’exposition la plus importante de numéros de téléphone et de données d’utilisateurs associés jamais documentés”, a déclaré Aljosha Judmayer.
Alors, si rien n’indique que des pirates ont effectivement pu récupérer tous ces numéros, il leur était possible de le faire avec une facilité déconcertante. Les chercheurs ont depuis supprimé leur base de données et prévenu Meta de leur découverte.
Meta a mis 6 mois pour corriger la faille de WhatsApp
Il a fallu attendre 6 mois pour que l’entreprise de Mark Zuckerberg ajoute une limitation du nombre de requêtes pour empêcher cette attaque. Une lenteur qui contraste énormément avec la facilité de cette technique. Il aurait fallu dès le début limiter le nombre de vérifications possibles pour bloquer toute tentative de collecte automatisée.
WhatsApp se défend et explique avoir travaillé sur un correctif avant que les chercheurs autrichiens ne communiquent à ce propos. Meta précise qu’aucune attaque n’a eu lieu. Sauf que la faille existait depuis huit ans alors forcément, on a des doutes. Mark Zuckerberg n’est pas le champion de la transparence et ment souvent ouvertement pour arriver à ses fins.
- Une faille de WhatsApp est restée ouverte huit ans et aurait exposé jusqu’à 3,5 milliards de numéros selon l’Université de Vienne.
- L’absence de limite sur la vérification d’un numéro a permis une collecte automatisée à grande échelle, avec 30 millions de numéros étasuniens extraits en 30 minutes lors des tests.
- Meta nie toute attaque et dit avoir corrigé le problème, mais la limitation des requêtes n’a été ajoutée qu’après six mois malgré une alerte dès 2017.
Source : Wired
Réagissez à cet article !