WhatsApp : 487 millions de numéros de téléphone volés

Publié par le dans , | Consulté 248 Fois

Alors que les données de près de 530 millions de comptes Facebook incluant des numéros de téléphone avaient été publiées sur un forum de hackers en avril 2021, la société américaine Meta se retrouve encore au centre des polémiques, mais cette fois-ci avec son application mobile WhatsApp. En effet, près de 487 millions de numéros de téléphone auraient fuité sur le net et seraient en vente sur un site communautaire dédié au piratage.

Une application mobile de messagerie instantanée chiffrée

Créé en 2009 par Jan Koum et Brian Acton, deux anciens salariés de la célèbre société américaine Yahoo, WhatsApp (ou encore WhatsApp Messenger), est une application mobile multiplateforme, gratuite, qui fournit un système de messagerie instantanée aussi bien via les réseaux de téléphonie mobiles que par Internet. Les deux créateurs n’avaient qu’un seul objectif : créer un système pour remplacer les traditionnels échanges de messages par SMS. 

Concrètement, WhatsApp permet aux utilisateurs de communiquer avec leurs contacts, à la seule condition que ces derniers possèdent eux aussi l’application. Ce qui différencie WhatsApp des SMS c’est que vous utilisez votre connexion internet pour envoyer des data (messages, vidéos, images,…), et par conséquent, il n’y aura pas de frais supplémentaires. Ainsi, le nombre de messages que vous pouvez envoyer gratuitement est illimité !

Face au succès de l’application, Facebook (maintenant Meta) décide d’acquérir WhatsApp en février 2014 pour un montant d’environ 22 milliards de dollars dont 17 milliards en actions Facebook. Et l’engouement pour WhatsApp n’a cessé de croître, puisqu’en 2020 l’application comptait près de 2 milliards d’utilisateurs actifs dont 31 millions d’utilisateurs français. Selon une enquête de l’Institut Français d’Opinion Publique (IFOP) en mars 2018, 52 % des Français utilisaient WhatsApp pour communiquer en famille et la moitié d’entre eux estimaient que ce nouvel outil de communication avait transformé les liens familiaux. 

Toutefois, si certes WhatsApp met souvent en avant le fait que vos messages et appels personnels soient sécurisés grâce au chiffrement de bout en bout, l’application a dû faire face à plusieurs reprises à de vives critiques portant sur sa sécurité informatique…

La mise en vente par un pirate informatique de 487 millions de numéros de téléphone

Le 16 novembre 2022, un pirate informatique a publié une annonce sur un forum communautaire de piratage bien connu, affirmant qu’il vendait une base de données de 2022 contenant 487 millions de numéros de téléphone d’utilisateurs de l’application WhatsApp. La base de données comporte des numéros de téléphone relatifs à 84 pays différents. Le pirate affirmait détenir plus de 32,3 millions de numéros de téléphone de citoyens américains et était prêt à les vendre pour 7 000 $. 

Une autre grande partie des numéros de téléphone appartiennent toujours selon lui, aux citoyens égyptiens (44,8 millions), italiens (35,6 millions), saoudiens (28,8 millions), français (19,8 millions) et turcs (19,6 millions). 10 millions de numéros de téléphone russes et plus de 11 millions de citoyens britanniques sont également concernés. 

La France est donc le cinquième pays le plus impacté avec 19,8 millions de numéros volés. Pour rappel, notre pays compte actuellement 67,5 millions d’habitants ce qui voudrait dire qu’environ 30 % de la population française est touchée. D’autant plus que le pirate a affirmé à CyberNews que les numéros en question appartenaient bel et bien à des utilisateurs actifs.

Afin que CyberNews puisse attester de la véracité des informations, le pirate a alors partagé un échantillon de 1097 numéros issus du Royaume-Uni et 817 autres numéros des États-Unis. Après enquête, CyberNews a confirmé que les numéros de l’échantillon sont reliés à des utilisateurs actifs. Il est possible d’en déduire que les 19,8 millions de numéros de téléphone français sont eux aussi véritablement reliés à des utilisateurs actifs. Avec deux milliards d’utilisateurs actifs sur WhatsApp, cet incident touche dans l’idée un quart des utilisateurs du service. 

La possible utilisation par le pirate informatique de la méthode du scraping

Une faille de sécurité de WhatsApp a probablement permis au pirate de dérober tous ces numéros. Toutefois, le pirate n’a pas précisé comment il a obtenu la base de données, expliquant seulement sur le forum où il a mis en ligne l’annonce qu’il « a utilisé sa propre stratégie ». Cybernews a alors contacté la société mère de WhatsApp, Meta, pour avoir plus d’explication, mais n’a à l’heure actuelle reçu aucune réponse. Il convient néanmoins de noter qu’un porte-parole de l’entreprise a démenti avoir fait l’objet d’une fuite de données auprès de la presse indienne.

Cybernews estime que les données des utilisateurs de WhatsApp ont été obtenues en utilisant la méthode du scraping. Cette méthode consiste à extraire les données publiques disponibles sur Internet grâce à des programmes automatisés. 

Il faut savoir que chaque numéro de téléphone est accompagné du nom complet de l’utilisateur. Ces informations pourraient servir à des personnes mal intentionnées, pour différents types de fraude ou autre tentative d’hameçonnage (aussi appelée phishing). L’hameçonnage ou phishing en anglais est selon le site du gouvernement français « une technique frauduleuse destinée à leurrer l’internaute pour l’inciter à communiquer des données personnelles (comptes d’accès, mots de passe…) et/ou bancaires en se faisant passer pour un tiers de confiance ». Par conséquent, méfiez-vous des appels provenant de numéros inconnus ou encore des appels et des messages non sollicités.

Meta une fois de plus au centre des polémiques

Comme expliqué au début de l’article, ce n’est pas la première fois que les données des utilisateurs d’une application détenue par Meta sont dérobées. En effet, cette fuite de données intervient quelques jours à peine après l’annonce de la condamnation de Facebook par la Data Protection Commission (DPC) irlandaise à une amende de 265 millions d’euros pour ne pas avoir suffisamment protégé les données de ses utilisateurs du « scraping ». 

En effet, entre mai 2018 et septembre 2019, des pirates informatiques avaient pillé des millions de profils Facebook pour extraire des listes de contacts et des numéros de téléphone. Un piratage qui avait conduit au vol des données de 530 millions d’utilisateurs, dont 20 millions de Français.

Il faut noter que les conditions générales de Facebook, WhatsApp et Instagram interdisent la méthode de « scraping » . Toutefois, d’un point de vue purement juridique, la plupart des pays n’ont pas légiféré sur cette méthode. Même s’il est possible de dire qu’en France, l’activité de scraping n’est pas illégale, la réutilisation des données scrapées peut, elle, l’être. Face à ce flou juridique, des experts en sécurité recommandent néanmoins à Meta de renforcer sa sécurité informatique estimant que l’interdiction de cette méthode inscrite dans les conditions générales n’est pas suffisante pour protéger les utilisateurs. 

Pas sûr que Meta prenne le conseil en compte, étant donné que dans l’affaire concernant Facebook, la société mère s’était vue infliger trois amendes en 15 mois pour violation du RGPD, ce qui représente au total 895 millions d’euros de pénalités alors que le groupe avait prévu une provision d’1 milliard d’euros pour de futures amendes des régulateurs européens…

_________________________________________________________________________________________________

SOURCES :