WhatsApp exposé : 3,5 milliards de numéros récupérés en douce
Une faille ignorée pendant huit ans par la firme de Zuckerberg.
On vous rapportait fin 2022 une alerte inquiétante, lorsque près de cinq cents millions de comptes WhatsApp s’étaient retrouvés à la vente sur le darknet. À l’époque, il s’agissait d’un piratage ciblé, avec des fichiers volés et classés par pays, dont une part importante concernait les utilisateurs français.
Une nouvelle étude universitaire publiée cette semaine révèle un problème beaucoup plus large. Des chercheurs autrichiens ont réussi à identifier 3,5 milliards de numéros valides associés à WhatsApp. Aucun mot de passe n’a été contourné, aucune base infiltrée. Ils se sont contentés d’utiliser une fonctionnalité accessible à tous, connue depuis huit ans, et qui n’avait jamais été réellement sécurisée.
La faille se trouvait dans la fonction d’ajout de contacts
WhatsApp fonctionne sur un principe simple. Quand vous ajoutez un contact dans votre répertoire, l’application vous indique automatiquement s’il a un compte. Pour cela, elle interroge ses serveurs, qui confirment ou non la présence du numéro dans sa base.
Les chercheurs ont exploité ce système à grande échelle. Au lieu de tester un seul numéro comme un utilisateur normal, ils ont programmé un outil qui soumettait des centaines de millions de numéros par heure. WhatsApp répondait à chaque fois sans filtrer les informations. C’est cette absence de limite qui a permis de récupérer 3,5 milliards de numéros valides. Dans la majorité des cas, la réponse inclut aussi la photo de profil et le texte du statut, si ces éléments sont restés publics.
Une alerte ignorée depuis 2017
Ce que l’étude met en lumière n’est pas un piratage, ni une faille de sécurité au sens strict, mais une faiblesse structurelle que WhatsApp a toujours laissé ouverte. Les chercheurs n’ont rien contourné, rien forcé. Ils ont simplement utilisé une fonction normale de l’application, mais à une échelle que Meta n’avait jamais limitée.
En réalité, cette mécanique avait déjà été signalée en 2017 par un chercheur néerlandais. Il avait démontré que des scripts simples pouvaient interroger des milliers de numéros à la chaîne. Meta avait refusé d’intervenir, estimant que les informations visibles relevaient de la responsabilité des utilisateurs.
La différence est cette fois ci l’ampleur. L’équipe autrichienne a prouvé que cette logique permettait de reconstituer la quasi-totalité de la base d’utilisateurs. Suite à cette démonstration, l’entreprise de Mark Zuckerberg a finalement activé une limite sur le nombre de requêtes, pour empêcher les collectes massives et automatisées.
Si la fuite dont on vous parle aujourd’hui n’est pas l’œuvre de personnes mal intentionnées, ce n’est pas le cas de celle révélée la semaine dernière, où plusieurs milliards d’adresses mail et de mots de passe ont été exposés.
David
20 novembre 2025 à 8 h 27 min
Pas mal de fuites en ce moment, je reçoit pleins de spams depuis
Haznut
20 novembre 2025 à 11 h 43 min
Pourquoi ne suis-je pas surpris.
J’ai éradiqué Meta de ma vie.
Même refusé les groupes WhatsApp que le boulot me proposait.