Selon une récente étude menée par des chercheurs de cybersécurité et cryptographie des universités allemandes ‘ Würzburg’ et ‘Darmstadt’, les services de découverte de contacts actuellement déployés sur différentes applications de messagerie mobile menacent gravement la vie privée de milliards d’utilisateurs.

En effet, en installant une application de messagerie mobile telle que WhatsApps, les utilisateurs peuvent instantanément échanger des messages avec leur contacts stockés sur le téléphone. Pour ce faire, les utilisateurs doivent autoriser l’application à accéder au carnet d’adresse et le télécharger régulièrement sur les serveurs de l’entreprise dans le cadre d’un processus nommé « découverte des contacts mobiles ».

Avec l’utilisation de peu de ressources, les chercheurs ont réussi à effectuer des attaques d’exploitation pratiques sur les messageries populaires WhatsApp, Signal et Telegram. Selon les résultats des expériences, les pirates informatiques peuvent collecter des données sensibles à grande échelle et sans restriction notable en interrogeant les services de découverte de contacts pour des numéros de téléphone aléatoires.

Les données analysées ont pu révéler des statistiques intéressantes sur le comportement des utilisateurs. Les chercheurs ont noté que très peu d’utilisateurs modifient les paramètres de confidentialité par défaut. Les résultats montrent que près de 50% d’utilisateurs de WhatsApp aux USA ont une photo de profil public et 90% un texte public « A propos ». 40% des utilisateurs de Signal utilisent aussi WhatsApp, et l’ensemble des autres utilisateurs de Signal ont une photo de profil publique sur WhatsApp.

Le fait de suivre ces données dans le temps permet aux pirates de créer des modèles de comportement précis. Quand ces données sont mises en correspondance sur les réseaux sociaux et les sources de données publiques, des tiers peuvent aussi créer des profils détaillés, comme pour arnaques les utilisateurs.

Les chercheurs ont aussi constaté que le service de recherche de contacts de Telegram expose des données sensibles, même au niveau des propriétaires de numéros de téléphone qui ne sont pas enregistrés auprès du service.

L’équipe de recherche a fait part de ses conclusions avec les fournisseurs de services respectifs. De ce fait, WhatsApp a amélioré ses mécanismes de protection pour que les attaques à grande échelle puissent être détectées.

Quant à Signal, la société a diminué le nombre de requêtes possibles afin de compliquer l’exploration.