Attention : cette faille WhatsApp expose vos données personnelles à 2,4 milliards de victimes potentielles
Votre téléphone vibre. Un simple message WhatsApp vient d’arriver. Sauf que vous ne l’avez jamais reçu.
Pendant que vous parlez à un ami, un inconnu à l’autre bout du monde lit vos conversations en temps réel. 3,5 milliards de comptes WhatsApp peuvent être identifiés et surveillés grâce à trois failles majeures découvertes ces derniers mois.
Sommaire de la page
Ce que les pirates peuvent récupérer sur votre téléphone en quelques secondes
Des chercheurs autrichiens ont démontré qu’ils pouvaient interroger les serveurs WhatsApp à un rythme de 100 millions de numéros par heure. Résultat : cartographier la quasi-totalité des utilisateurs actifs sur la planète. Mais ce n’est que la partie émergée de l’iceberg.
La technique GhostPairing exploite le système d’appairage de WhatsApp. Un attaquant vous envoie un lien piégé qui imite l’interface officielle. Vous scannez le QR code en pensant connecter votre tablette.
En réalité, vous venez de donner un accès total à vos messages, photos et contacts. Aucun mot de passe requis. Le chiffrement de bout en bout devient inutile puisque le pirate lit directement depuis un appareil validé.
L’étude Careless Whisper révèle qu’un simple numéro de téléphone suffit pour déclencher des messages invisibles. Ces fantômes numériques génèrent des accusés de lecture sans que vous ne voyiez rien. Votre téléphone devient une balise : le hacker sait quand vous êtes en ligne, avec qui vous parlez, combien de temps.
Les tests montrent une consommation supplémentaire de 18% de batterie par heure et jusqu’à 13,3 Go de données aspirées.
Pourquoi Meta a attendu 48 heures avant de réagir
La faille WhatsApp référencée CVE-2025-55177 a été exploitée pendant trois mois avant correction. Environ 200 personnes ciblées par des attaques zero-click : aucun clic, aucune action de la victime. Juste un message reçu et le logiciel espion s’installe.
Meta a corrigé la brèche, mais le délai entre découverte et patch a laissé une fenêtre d’exposition critique. Selon une plainte interne, 1 500 ingénieurs chez Meta auraient eu accès étendu aux données utilisateurs. Un risque de fuite interne qui s’ajoute aux menaces externes.
Les vulnérabilités de découverte de contacts et d’appairage fantôme restent actives. WhatsApp n’a pas communiqué publiquement sur les mesures pour bloquer l’énumération massive de comptes ni sur la sécurisation renforcée du processus de liaison d’appareils.
Les 3 manipulations à faire immédiatement pour vous protéger
Première urgence : vérifier les appareils connectés. Ouvrez WhatsApp, allez dans Paramètres > Appareils connectés. Supprimez toute session inconnue. Faites-le maintenant, pas demain.
- Activez la validation en deux étapes dans Paramètres > Compte > Validation en deux étapes. Un code PIN bloquera tout appairage non autorisé.
- Désactivez les accusés de lecture dans Paramètres > Confidentialité. Vous empêchez la technique Careless Whisper de fonctionner pleinement.
- Ne scannez jamais de QR code WhatsApp reçu par email, SMS ou message suspect. L’appairage légitime se fait depuis votre propre initiative, jamais sur demande externe.
Mettez à jour WhatsApp vers la dernière version disponible. Les correctifs CVE-2025-55177 ne s’appliquent qu’aux versions récentes iOS et macOS.
Surveillez votre consommation de batterie et de données : une hausse inexpliquée signale peut-être une surveillance active. Si vous détectez un appareil fantôme, changez immédiatement votre code PIN et signalez l’incident à WhatsApp via les outils de sécurité intégrés.
