Sur un forum de hacking, et en l’occurrence BreachForums pour ne pas changer depuis la fin de RaidForums, Cybernews a repéré l’annonce de mi-novembre d’un utilisateur qui revendique avoir en sa possession une base de données portant sur des utilisateurs de WhatsApp.
Cette base de données serait conséquente et récente avec presque 500 millions de numéros de téléphone. Potentiellement, cela représenterait de l’ordre d’un quart des utilisateurs de WhatsApp et pour 84 pays.
Derrière l’Égypte, l’Italie, les États-Unis et l’Arabie saoudite, la France figure parmi les pays les plus touchés avec quasiment 20 millions de numéros de mobiles. Avec un échantillon de numéros américains et britanniques, Cybernews indique avoir été en mesure de vérifier leur authenticité pour des utilisateurs de WhatsApp.
Pas nécessairement une compromission de WhatsApp
Les numéros américains (32 millions) sont proposés à la vente pour 7 000 $, tandis que les numéros britanniques (11,5 millions) sont vendus 2 500 $. Le prix pour des numéros allemands (6 millions) est de 2 000 $. Ce n’est manifestement pas la quantité qui permet de fixer un prix de vente.
Le cybercriminel ne précise pas la manière dont il a obtenu sa base de données, même s’il évoque une stratégie pour la collecte de données et assure qu’il s’agit d’utilisateurs actifs de WhatsApp. Ce pourrait être du scraping qui est une hypothèse avancée.
Le scraping – ou data scraping – est un grattage de données qui repose sur la collecte automatisée de données le plus souvent disponibles publiquement sur le Web. Pour autant, c’est une pratique qui va à l’encontre des conditions d’utilisation des services.
Un risque de phishing mieux personnalisé
La grosse base de données pourrait également être une association de plusieurs bases de données et fuites déjà connues. Cybernews précise avoir alerté Meta, la maison mère de WhatsApp, mais n’a pas reçu de réponse pour le moment.
Les numéros de téléphones divulgués pourraient par exemple être exploités dans le cadre de campagnes de phishing, des tentatives d’usurpation d’identité et autres arnaques.