WhatsApp : l’application de Meta corrige un élément important pour la sécurité des utilisateurs

Les arnaques sur WhatsApp se multiplient, portées par la simplicité de l’application et la confiance qu’elle inspire. Les escrocs jouent souvent sur l’urgence ou l’émotion.

Un faux message d’un proche qui prétend avoir changé de numéro, un soi-disant problème bancaire à régler immédiatement. Ou encore un colis à récupérer via un lien suspect.

Ces approches semblent banales, mais elles servent toutes à pousser la victime à cliquer, payer ou dévoiler des informations personnelles. Les fraudeurs savent se montrer convaincants.

Ils imitent le style d’écriture d’un ami, envoient des emojis, créent une situation stressante pour forcer une réaction rapide. Parfois, ils se font passer pour un service officiel, utilisant des logos ou des formulations trompeuses.

D’autres fois, ils ciblent en masse : tirages au sort fictifs, faux bons d’achat, promotions impossibles… L’objectif reste le même : subtiliser de l’argent ou récupérer des données sensibles.

Le meilleur réflexe consiste à toujours vérifier l’identité de l’interlocuteur par un autre canal. Et aussi à ne jamais cliquer sur un lien douteux et à se méfier des demandes urgentes, surtout lorsqu’elles concernent des paiements.

Une correction importante

WhatsApp reste un outil pratique, mais il exige aujourd’hui une vigilance constante. D’ailleurs, l’app a récemment revu l’une de ses plus grandes failles.

La messagerie la plus utilisée au monde a finalement réagi. Après les révélations des chercheurs de l’Université de Vienne et du laboratoire SBA Research, Meta a commencé à durcir l’accès à l’API de découverte de contacts de WhatsApp.

Une mise à jour qui arrive six mois après une divulgation responsable effectuée via son programme de bug bounty… Mais surtout huit ans après qu’un premier chercheur avait déjà signalé exactement la même faille.

Jusqu’ici, l’API de WhatsApp permettait à n’importe quelle application de vérifier en temps réel si un numéro était associé à un compte. Les chercheurs ont pu envoyer près de 7 000 requêtes par seconde depuis une seule adresse IP, sans blocage ni limitation.

Résultat : plus de 100 millions de numéros vérifiés par heure. Et l’impact va bien au-delà d’une simple confirmation d’existence, car ils ont réussi à récupérer les photos de profil publiques pour environ deux tiers des utilisateurs américains.

Ainsi que les statuts À propos laissés visibles. Certains révélaient leurs opinions politiques, leur orientation sexuelle, leurs croyances religieuses, des liens vers OnlyFans, ou même des adresses professionnelles sensibles.

L’enquête a aussi mis en lumière des millions de comptes actifs dans des pays où WhatsApp est officiellement interdit. Près de 60 millions en Iran (avant la levée de l’interdiction), 2,3 millions en Chine, 1,6 million au Myanmar, et même cinq en Corée du Nord.

Un bug de grande ampleur corrigé sur WhatsApp

Croisées avec des outils de reconnaissance faciale dopés à l’IA, ces données pourraient permettre la création d’un annuaire inversé global. Ce dernier se dit ainsi capable d’identifier une personne à partir d’une simple photo et de retrouver son numéro.

Une menace particulièrement sérieuse pour ceux qui vivent sous des régimes autoritaires. Nitin Gupta, vice-président de WhatsApp, affirme que l’entreprise avait déjà commencé à déployer des systèmes avancés anti-scraping.

Et qu’aucune exploitation malveillante n’a fait l’objet d’une détection. Mais les chercheurs rappellent qu’il se veut impossible de garantir qu’aucun acteur ne s’était déjà servi de cette vulnérabilité.

Dans l’immédiat, il est conseillé de limiter la visibilité de sa photo de profil et de son statut À propos aux seuls contacts. Quant aux données déjà aspirées, difficile de réparer les dégâts : contrairement aux mots de passe, les numéros de téléphone changent rarement.

D’ailleurs, 58 % des numéros issus de la fuite Facebook de 2021 correspondent encore aujourd’hui à des comptes WhatsApp actifs. La vigilance est donc de mise.