Une nouvelle vulnérabilité vient d’être mise en lumière sur WhatsApp, remettant en question la prétendue sécurité offerte par le chiffrement de bout en bout. Des chercheurs de l’Université de Vienne ont en effet démontré qu’il est possible d’espionner un utilisateur à distance, sans générer de notifications ou d’alerte, grâce à une technique nommée « Careless Whisper » (en référence à la célèbre chanson de George Michael). Cette faille exploite une faiblesse dans le fonctionnement des accusés de réception, ces petits checks bleus qui indiquent qu’un message a été délivré puis vu.
En envoyant des messages ou des réactions spécialement conçus à cette fin, un attaquant peut déclencher à distance l’envoi en silence d’accusés de réception. Résultat : l’utilisateur ciblé ne remarque rien, mais ses métadonnées deviennent vulnérables. En analysant le temps qu’il faut à son téléphone pour répondre à ces requêtes, un espion peut déterminer si l’écran est allumé ou éteint, si WhatsApp est ouvert en premier plan, quel système d’exploitation est utilisé ou même combien d’appareils sont connectés à votre compte. Pire encore, il est possible d’en déduire des habitudes, comme vos horaires de sommeil.
Les chercheurs ont démontré qu’en utilisant cette faille, il est possible d’espionner en silence ses victimes, même sans qu’elles ne s’en aperçoivent.
Cette recherche, qui a reçu le prestigieux Best Paper Award à la conférence RAID 2025, souligne une nouvelle limite dans la sécurité de certaines applications de messagerie. Si Signal, l’autre service apparemment vulnérable selon les tests, n’a pas donné suite à leurs alertes, WhatsApp demeure le plus exposé, notamment à cause de la possibilité d’envoyer des payloads de réaction d’un volume pouvant atteindre 1 Mo. Cela permet de générer jusqu’à 13 Go de trafic par heure sur le téléphone de la victime, ce qui peut facilement provoquer une décharge de batterie drastique, jusqu’à 18% par heure, sans qu’elle en ait conscience.
Un développeur a même mis en ligne un outil open source permettant de tester cette vulnérabilité de manière responsable. Cet outil, accessible sur GitHub, offre une interface en temps réel pour suivre l’activité d’un numéro de téléphone cible. Selon le délai de réponse, il est possible de déterminer si la personne est active ou en sommeil, offrant ainsi une méthode de traque insidieuse et invisible. La faille a été signalée à Meta (la société mère de WhatsApp) en septembre 2024, mais à ce jour, aucune correction n’a été apportée ni par WhatsApp ni par Signal.
Comment se protéger face à cette menace ?
Pour limiter les risques, WhatsApp propose une option de confidentialité permettant de restreindre la visibilité aux seuls « Mes Contacts » dans Paramètres → Confidentialité. En choisissant cette option, vous réduisez la portée des accusés de réception, compliquant la tâche aux intrus souhaitant vous traquer. Bien qu’aucune solution parfaite n’existe encore, cette mesure constitue une étape pour renforcer votre anonymat et votre sécurité dans l’application.
Même avec un chiffrement solide, il subsiste toujours des métadonnées vulnérables, soulignant l’importance de rester vigilant face aux risques silencieux.
En résumé, cette faille illustre une fois de plus que la sécurité absolue est difficile à garantir dans le monde numérique. Même si les contenus de nos échanges restent protégés, d’autres éléments comme les métadonnées peuvent être exploités à des fins malveillantes. La prudence et la configuration de nos paramètres de confidentialité restent donc essentielles pour préserver notre vie privée dans un environnement numérique en constante évolution.
