Faille géante WhatsApp : comment protéger votre compte après l’exposition de 3,5 milliards de numéros
Un simple numéro de téléphone peut suffire à vous cibler. Des chercheurs de l’Université de Vienne ont montré qu’une faille dans WhatsApp permettait de collecter des données sur environ 3,5 milliards de comptes dans 245 pays, dont près de 8,4 millions de numéros suisses. Les messages restent chiffrés, mais ce n’est pas pour autant sans danger.
Car les photos de profil, les statuts et certaines infos de compte permettent déjà de repérer une personne, de la harceler, ou de monter une arnaque très crédible. L’objectif de cet article est double : comprendre simplement ce qui s’est passé, puis apprendre à mieux paramétrer WhatsApp pour limiter les dégâts, aujourd’hui et pour les prochaines failles qui arriveront tôt ou tard.
Ce qui s’est vraiment passé : comprendre la faille géante de WhatsApp
Les chercheurs de l’Université de Vienne se sont intéressés à une fonction très banale de WhatsApp, celle qui sert à vérifier si un contact de votre carnet utilise l’application. À partir de là, ils ont réussi à interroger les serveurs à une vitesse impressionnante et à collecter des informations publiques liées aux comptes.
Ils ont pu identifier 3,5 milliards de comptes répartis dans presque tous les pays du monde. Pour chaque numéro, ils pouvaient voir les métadonnées exposées par WhatsApp, par exemple la photo de profil, la description, parfois la dernière activité. Les messages privés, eux, sont restés chiffrés et n’ont pas été lus. La faille ne touchait pas le contenu des conversations, mais tout ce qui circule autour.
Meta, la maison mère de WhatsApp, connaissait l’existence de ce problème depuis des années. Les chercheurs affirment que la faiblesse était présente depuis 2017. Meta a été à nouveau alerté au printemps 2025, puis la faille a enfin été corrigée à l’automne, en limitant la vitesse des requêtes et en détectant mieux les comportements suspects. Le problème, c’est que pendant toutes ces années, n’importe quel acteur bien organisé pouvait aspirer des données à grande échelle sans piratage sophistiqué.
Une fonction pratique transformée en énorme aspirateur de numéros
À la base, la fonction de découverte de contacts est simple. Vous installez WhatsApp, l’application regarde votre carnet d’adresses, puis vous dit quels numéros utilisent déjà le service. C’est pratique pour éviter d’envoyer des invitations à tout le monde.
Les chercheurs ont pris cette fonction et l’ont automatisée à très grande vitesse. Au lieu de tester dix numéros, ils en testaient des millions par heure. À chaque numéro, les serveurs de WhatsApp répondaient si un compte existait, et retournaient les informations publiques liées à ce compte. Cela incluait le numéro, la photo de profil, parfois le statut, et certains signes d’activité.
Tout cela correspond à des métadonnées. Ce ne sont pas les discussions elles-mêmes, mais des éléments autour des comptes, visibles à travers les paramètres de confidentialité actuels. Pris un par un, ces détails paraissent anodins. Pris à l’échelle de milliards de profils, ils forment une immense base pour cibler des personnes et préparer des attaques.
3,5 milliards de comptes cartographiés, dont des millions d’utilisateurs suisses
Au total, l’équipe a pu cartographier environ 3,5 milliards de comptes répartis dans 245 pays. Pour la Suisse, cela représente environ 8,4 millions de numéros, ce qui couvre une très grande partie des utilisateurs du pays.
Même sans accès aux messages, les risques sont réels. En reliant un numéro à une identité et à une photo reconnaissable, il devient plus simple de lancer du phishing, de tenter une usurpation d’identité, ou de mener un harcèlement ciblé. Par exemple, un escroc peut reprendre votre photo de profil, se faire passer pour vous, ou construire un faux profil très crédible sur une autre plateforme.
Les chercheurs expliquent avoir supprimé toutes les données après leur étude et avoir informé Meta. Le problème, c’est que la faille a existé pendant des années avant d’être corrigée. Personne ne peut dire avec certitude si d’autres groupes ne l’ont pas exploitée en silence pour se constituer leurs propres bases de profils WhatsApp.
Comment mieux protéger votre compte WhatsApp dès maintenant
La faille a été corrigée, mais votre meilleur bouclier reste vos paramètres de confidentialité. Vous ne pouvez pas contrôler les décisions de Meta, par contre vous pouvez réduire fortement ce que des inconnus voient de vous.
Limiter au maximum ce que les inconnus voient de vous
La première étape consiste à vérifier ce que montre votre profil aux personnes qui ne sont pas dans vos contacts. Ouvrez WhatsApp, allez dans Paramètres, puis dans Confidentialité. Ensuite, prenez le temps de regarder chaque rubrique, comme Photo de profil, Infos, Statut, Vu à ou Dernière connexion.
Pour chacune de ces options, préférez Mes contacts plutôt que Tout le monde. Si vous voulez rester plus discret, vous pouvez aussi choisir Personne pour certains éléments, par exemple la dernière connexion. Cela ne cassera pas votre usage de WhatsApp, mais un éventuel scraping aura beaucoup moins à récupérer.
Pensez aussi à la nature de votre photo de profil. Une image neutre, un dessin, ou une photo qui ne permet pas de vous reconnaître facilement limite les risques. Évitez les photos avec des enfants, votre façade de maison, votre plaque de voiture, ou des indices trop précis sur votre vie privée. Même logique pour le statut : évitez d’indiquer votre école, votre entreprise, ou votre ville exacte si votre profil est trop ouvert.
Activer la double sécurité pour bloquer les usurpations de compte
WhatsApp propose une protection simple et très utile, la vérification en deux étapes, aussi appelée authentification à deux facteurs. Elle ajoute un code PIN à six chiffres, qui sera demandé si quelqu’un tente de réinstaller votre compte sur un autre téléphone.
Pour l’activer, ouvrez Paramètres, allez dans Compte, puis dans Vérification en deux étapes. Activez la fonction, choisissez un code que vous n’utilisez pas ailleurs et que vos proches ne peuvent pas deviner facilement. Évitez les dates de naissance, les suites évidentes, ou les numéros de plaque.
Il est important de ne jamais partager ce code, même si quelqu’un prétend être le support WhatsApp ou un proche qui a besoin d’aide. Si une base de données issue d’un scraping circule déjà avec votre numéro, cette vérification supplémentaire limite fortement les chances de voir votre compte détourné. Le scraping ne sera pas bloqué par cette option, mais les pirates auront beaucoup plus de mal à prendre le contrôle de votre profil.
Réduire votre trace numérique : numéro, groupes et sauvegardes
Un bon réflexe consiste à limiter la quantité d’informations reliées à un même numéro de téléphone. Si vous pouvez, évitez d’utiliser ce numéro partout, sur les petites annonces, les réseaux sociaux publics, les inscriptions douteuses. Plus il circule, plus il devient simple à recouper avec votre identité.
Faites aussi attention à la façon dont vous partagez votre numéro dans les groupes. Les grands groupes publics ou semi publics, comme ceux liés à un événement ou à un club ouvert, affichent souvent les numéros de tous les membres. Avant d’accepter une invitation, demandez vous si vous avez confiance dans les personnes présentes. Dans les réglages de confidentialité, vous pouvez aussi limiter qui peut vous ajouter dans des groupes, par exemple en choisissant Mes contacts plutôt que tout le monde.
Enfin, n’oubliez pas les sauvegardes. Sur Android, elles passent souvent par Google Drive. Sur iPhone, par iCloud. Ces espaces peuvent contenir l’historique de vos discussions, qui n’est pas protégé par le même chiffrement que les messages en direct. Protégez ces comptes avec un bon mot de passe et, si possible, une double authentification. Une attaque sur votre compte Google ou Apple peut parfois faire plus de dégâts qu’une simple fuite de numéro WhatsApp.
Faut-il quitter WhatsApp et passer à Signal pour mieux protéger sa vie privée ?
La question revient souvent dès qu’une affaire de ce type éclate. Beaucoup de personnes regardent du côté de Signal, une autre messagerie qui met en avant la vie privée et le chiffrement. Le choix ne se fait pas en un jour, et il ne suffit pas de changer d’application si l’on garde les mêmes mauvaises habitudes de partage.
WhatsApp reste pratique, mais pas pensé d’abord pour la confidentialité
WhatsApp a des atouts évidents. Tout le monde ou presque l’utilise, ce qui simplifie les échanges de famille, d’amis, de collègues. L’application est simple, les groupes sont faciles à gérer, et depuis longtemps les messages sont chiffrés de bout en bout, ce qui protège bien le contenu des conversations.
Le problème vient plutôt des métadonnées. WhatsApp collecte le numéro, le carnet d’adresses, l’appareil utilisé, certaines infos de compte, et expose une partie de ces données selon vos réglages. Tant que l’application appartient à Meta, l’objectif restera la croissance et la monétisation, par exemple grâce aux usages professionnels et aux liens avec d’autres services du groupe. La confidentialité maximale ne sera jamais la priorité numéro un.
Signal, une alternative plus respectueuse, mais qui demande un effort
Signal se présente comme une alternative qui met la vie privée au premier plan. Le code est ouvert, il n’y a pas de publicité, et la collecte de métadonnées est limitée. Signal propose aussi des fonctions avancées, comme les messages temporaires, moins d’éléments de profil, et des réglages de confidentialité plus stricts par défaut.
Le principal frein vient du nombre d’utilisateurs. Beaucoup de proches ne connaissent pas Signal ou ne voient pas l’intérêt de l’installer. Une approche réaliste consiste à garder WhatsApp pour les échanges où vous n’avez pas le choix, par exemple certains groupes familiaux ou scolaires, et à déplacer les conversations sensibles sur Signal, surtout dans un cadre professionnel, militant, ou pour des échanges très personnels. Petit à petit, vos contacts les plus proches pourront suivre ce mouvement.
Suivez nous sur Google NewsCet article a été élaboré avec le soutien d’un outil d’intelligence artificielle. Il a ensuite fait l’objet d’une révision approfondie par un journaliste professionnel et un rédacteur en chef, assurant ainsi son exactitude, sa pertinence et sa conformité aux standards éditoriaux.