[Info Numerama] Un informaticien français a trouvé une manière de détourner une fonctionnalité de WhatsApp pour explorer de nouveaux numéros de téléphone. Ce faisant, il a trouvé les coordonnées de plusieurs personnalités publiques.

Quel est le point commun entre Benjamin Griveaux, Roselyne Bachelot, Denis Baupin ou encore Sophia Chikirou ? Toutes ces personnalités ont été — et sont toujours, pour certaines d’entre elles — en politique. Mais surtout, elles se servent de WhatsApp pour correspondre avec leurs contacts, ce qui leur permet de protéger plus efficacement leurs conversations que ne le fait Telegram.

S’il est tout à fait judicieux de se servir de WhatsApp pour bien sécuriser ses messages avec ses interlocuteurs, grâce aux chiffrements de bout en bout, l’emploi de cette application est toutefois susceptible de causer quelques désagréments : il est en effet possible de découvrir le numéro de téléphone privé de ces personnalités en détournant habilement une fonctionnalité prévue par la messagerie instantanée.

Recherche par contact téléphonique

C’est la trouvaille faite cette année par Tristan Granier, un développeur spécialisé dans la sécurité informatique. En contact avec Numerama depuis le début du mois de juin pour évoquer cette faiblesse, il explique avoir détourné la fonctionnalité permettant de faire une recherche par contact téléphonique, une approche qu’il qualifie « d’attaque par force brute inversée ». Pour cela, il a mobilisé un outil de son cru, disponible sur GitHub et intitulé Operative Framework.

Ce logiciel sert à dénicher des renseignements d’origine source ouverte (OSINT, pour Open Source INTelligence), c’est-à-dire des informations accessibles publiquement. Il a permis de générer des numéros français au format VCard (un format standard ouvert d’échange de données personnelles, selon le principe de la carte de visite), qui ont été importés par la suite sur le compte iCloud de Tristan Granier.

Une fois ceci fait, un module spécifique d’Operative Framework, très logiquement baptisé « whatsapp_extractor » a été mis en œuvre. Comme son nom l’indique, il extrait les données des contacts d’un compte WhatsApp. « J’ai eu accès au profil des numéros de téléphone générés avec la photo de profil, le statut, etc. », explique Tristan Granier. Une vidéo publiée sur YouTube illustre le procédé employé.

Une technique qui peut s’aggraver

Dans la vidéo de démonstration, on le voit générer une liste de plus de 1 130 contacts — en sachant qu’il avait établi une limite à 1 000 — et l’importer sur un compte Dropbox. C’est ce fichier VCard qui est récupéré depuis Dropbox. Une fois les contacts chargés, l’usager a le choix de les importer avant de décider, lors de la restauration des contacts, de fusionner le nouvel arrivage avec le carnet d’adresses ou bien de le remplacer.

Ultime étape de la manipulation de Tristan Granier, la mise en place d’un site dynamique en vue d’afficher les profils qui ont été découverts. Il n’y a alors plus qu’à passer en revue les photos de profil, qui sont affichées sous la forme de vignettes dans un tableau, et tomber, peut-être, sur des comptes intéressants. On y voit beaucoup d’anonymes, mais aussi le compte de Benjamin Griveaux.

Et si cette approche apparaît comme étant très artisanale, puisqu’il faut passer en revue les différentes miniatures (sachant que certaines ne reflètent pas forcément le vrai visage du mobinaute) l’informaticien suggère qu’il serait tout à fait possible de l’industrialiser : « imaginez cette technique avec le croisement d’un algorithme de reconnaissance faciale », met-il en garde.

Un détournement qui ne sera pas résolu

Reste une question : quelle réaction a eu WhatsApp et sa maison-mère, Facebook, puisque Tristan Granier a préalablement pris contact avec les équipes en charge du développement de l’application mobile pour leur signaler une faiblesse pouvant être détournée à des fins malveillantes ?

Pas forcément celle qu’attendait le développeur : « elles ne souhaitent pas modifier cette fonction », nous confie-t-il, même si les personnes en charge d’examiner ce rapport lui ont demandé de suspendre toute divulgation le temps de l’inspecter. Après plusieurs semaines d’attente, le verdict est tombé fin juillet : « elles ne souhaitent pas corriger [ce point] pour des raisons fonctionnelles et commerciales ».

Pourtant, la méthode utilisée par Tristan Granier fonctionne bien. Il confie à Numerama avoir repéré d’autres profils, comme Martin Bohmert (délégué général des Jeunes avec Macron et membre du bureau exécutif d’En Marche), Serge Federbusch (candidat à la mairie de Paris) ou encore Guillaume Tatu (journaliste). D’autres comptes sont en cours d’analyse.

Faute d’intervention de Facebook ou WhatsApp pour régler ce détournement, il est à craindre que des personnes mal intentionnées cherchent à s’en servir pour harceler ou menacer des personnalités publiques comme de parfaits inconnus. Cependant, à défaut d’une résolution technique, il peut y avoir un appui judiciaire. La loi prévoit des mesures contre les menaces et le harcèlement.

Article publié initialement le 24 juillet 2019

Partager sur les réseaux sociaux Tweeter Partager Partager Partager redditer

La suite en vidéo