Un nouveau procès(nouvelle fenêtre) remet la sécurité de WhatsApp sous les projecteurs. Attaullah Baig, l’ancien chef de la sécurité de l’application, allègue que Meta a ignoré des failles critiques qui permettent à des centaines d’employés d’accéder aux données sensibles des utilisateurs et n’a pas réussi à arrêter les piratages de masse de comptes. Meta refuse les allégations, mais pour les 3 milliards d’utilisateurs de WhatsApp(nouvelle fenêtre), la question est la même : WhatsApp est-il vraiment sûr à utiliser ?

WhatsApp est-il sécurisé pour les discussions privées ?

Malgré les allégations du procès, le chiffrement de bout en bout (E2EE) de WhatsApp reste intact. Rien ne suggère que le protocole de chiffrement de WhatsApp a été brisé ou que Meta peut lire le contenu de vos conversations. Cela signifie que vos SMS, photos et appels vocaux sont toujours protégés contre tout accès extérieur, y compris de Meta lui-même.

Cependant, WhatsApp peut lire vos métadonnées (à qui vous parlez, quand, etc.) et, selon l’endroit où vous vivez, partage ces données avec Meta. Ainsi, sa sécurité dépend de la quantité d’informations que vous souhaitez garder privées.

Pourquoi Meta est-il poursuivi pour des préoccupations concernant le respect de la vie privée sur WhatsApp ?

Attaullah Baig, qui dirigeait l’équipe de sécurité de WhatsApp entre 2021 et 2025, affirme que l’application n’est pas aussi privée que le prétend Meta. Dans son procès, il allègue qu’environ 1 500 employés ont accès aux informations sensibles des utilisateurs, y compris l’emplacement, les photos de profil, les adhésions aux groupes et les listes de contacts.

Si ces allégations sont vraies, elles clarifieraient la position de WhatsApp sur le chiffrement de bout en bout(nouvelle fenêtre) : Vos messages sont privés, mais votre emplacement, vos photos de profil, vos adhésions aux groupes et vos listes de contacts sont un jeu équitable. Ce type d’accès illimité ouvre la porte aux menaces internes et aux fuites de données, où des informations sensibles pourraient être volées et vendues sur le dark web.

L’ancien chef de la sécurité soutient que ce niveau d’accès peut également violer une ordonnance contraignante du gouvernement américain qui a contraint Meta (alors Facebook) à payer une amende record de 5 milliards de dollars en 2020(nouvelle fenêtre) après le scandale Cambridge Analytica.

Il allègue également que l’entreprise a ignoré plus de 100 000 prises de contrôle de comptes quotidiennes et a rejeté ses correctifs proposés. Selon le procès, lorsque Baig a soulevé ces préoccupations auprès de la haute direction, y compris Mark Zuckerberg, Meta l’a licencié.

Meta a refusé les allégations de Baig et a imputé son licenciement à de mauvaises performances. Les allégations ont également attiré l’attention politique, avec des sénateurs pressant Zuckerberg(nouvelle fenêtre) de répondre aux questions sur les pratiques de sécurité de WhatsApp.

Le procès de Baig survient quelques jours seulement après qu’un groupe de six employés actuels et anciens de Meta(nouvelle fenêtre) a affirmé que l’entreprise avait dissimulé des preuves d’enfants exposés au grooming, au harcèlement et à la violence sur ses plateformes de réalité virtuelle. Meta a également refusé ces allégations.

Quels sont les risques de sécurité et de respect de la vie privée de WhatsApp ?

Avec la gestion des données des utilisateurs par WhatsApp sous les projecteurs, voici les risques de sécurité et de respect de la vie privée auxquels vous pouvez être confronté en utilisant cette application :

Logiciels malveillants et logiciels espions

Des applications ou des liens malveillants peuvent installer des logiciels espions sur votre téléphone, permettant aux attaquants d’intercepter des messages ou des codes. Un exemple est PixPirate(nouvelle fenêtre), un logiciel malveillant Android repéré pour la première fois au Brésil, où il ciblait le système de paiement instantané du pays, Pix. Il a depuis été observé en Inde, au Mexique et en Italie. Son objectif est de voler des identifiants bancaires, d’intercepter des codes d’authentification à deux facteurs (A2F), d’initier des transferts Pix non autorisés depuis le compte d’une victime, et de bloquer les tentatives de désinstallation ou de désactivation de Google Play Protect.

Les attaquants ont utilisé WhatsApp pour propager PixPirate. Si le logiciel malveillant ne détecte pas WhatsApp sur l’appareil(nouvelle fenêtre), il le téléchargera pour envoyer plus de liens malveillants aux contacts.

Exploits zéro clic

En 2025, des chercheurs ont découvert une attaque zéro clic permettant aux pirates de s’introduire dans les iPhones et les Macs via WhatsApp(nouvelle fenêtre) sans que les utilisateurs ne cliquent sur quoi que ce soit. L’exploit combinait deux failles : l’une dans la manière dont macOS et iOS traitaient les images, et une autre dans la fonctionnalité de liaison d’appareils de WhatsApp.

Les cybercriminels pouvaient livrer des logiciels espions aux utilisateurs d’Apple via des messages WhatsApp et voler des données sur leurs appareils, y compris les messages. Meta a déclaré que moins de 200 utilisateurs ont été touchés, et Apple et WhatsApp ont depuis corrigé les vulnérabilités.

La même année, une vulnérabilité zéro clic distincte a affecté les appareils Samsung (CVE-2025-21042(nouvelle fenêtre)). Les attaquants pouvaient compromettre les téléphones Galaxy en envoyant un fichier image malveillant, et aucune interaction n’est requise. Cet exploit a été utilisé dans des campagnes de logiciels espions ciblées jusqu’à ce que Samsung corrige le problème dans sa mise à jour de sécurité d’avril 2025.

Échange de carte SIM et arnaques au code de vérification

Les attaquants peuvent tromper votre opérateur mobile pour qu’il transfère votre numéro de téléphone vers une nouvelle carte SIM qu’ils contrôlent. Ils peuvent ensuite vous escroquer pour que vous partagiez le code à six chiffres que WhatsApp envoie par SMS lors de la configuration d’un nouvel appareil. Si vous le donnez, des acteurs malveillants peuvent détourner votre compte, vous en verrouiller l’accès, voler votre identité, et utiliser votre profil pour escroquer vos contacts. La police de Southwark, à Londres, a signalé une augmentation de ces attaques en 2021(nouvelle fenêtre), avertissant les gens de ne jamais partager leurs codes WhatsApp.

Métadonnées exposées

Les discussions peuvent être chiffrées de bout en bout, mais WhatsApp (et sa société mère Meta) collecte toujours des métadonnées — comme à qui vous parlez, à quelle fréquence, les informations de votre appareil et votre emplacement. Les métadonnées ne peuvent pas être utilisées pour vous identifier directement, mais elles peuvent être recoupées avec d’autres informations pour vous ré-identifier(nouvelle fenêtre). Et comme Meta est basée aux États-Unis, elle peut partager tout ce qu’elle sait sur vous avec le gouvernement américain sans préavis.

Exposition massive de 3,5 milliards de numéros de téléphone WhatsApp

En 2025, un groupe de chercheurs autrichiens indépendants a découvert(nouvelle fenêtre) une faille de respect de la vie privée dans WhatsApp qui leur a permis de récupérer 3,5 milliards de numéros de téléphone — ainsi que des photos de profil, des informations sur les appareils, des horodatages, le texte “à propos” et des infos professionnelles — en utilisant une méthode d’énumération téléphonique facilement reproductible. La même vulnérabilité a été signalée pour la première fois en 2017, mais Meta ne l’a pas corrigée. Il est important de noter qu’aucune fuite de données WhatsApp confirmée n’a été publiquement signalée comme ayant exploité cette méthode spécifique.

Bien que votre numéro de téléphone et vos métadonnées ne vous identifient pas directement, ils peuvent être associés à d’autres données pour révéler qui vous êtes. Peut-être réutilisez-vous la même photo de profil sur les plateformes sociales, ou avez-vous fait partie de fuites de données passées où vos messages, noms d’utilisateur ou emplacement ont été exposés — tout cela pouvant être lié à vos métadonnées WhatsApp.

Les chercheurs ont également obtenu les clés publiques utilisées pour le chiffrement de bout en bout de WhatsApp et ont trouvé de graves problèmes, notamment des clés de chiffrement réutilisées des centaines de fois sur différents comptes, et des pré-clés à usage unique apparaissant à plusieurs reprises alors qu’elles sont conçues pour être générées à nouveau pour chaque session.

Ces problèmes de sécurité suggèrent l’utilisation de clients WhatsApp non officiels ou frauduleux avec un chiffrement cassé. Si vous utilisez ces applications modifiées, vos messages peuvent être vulnérables à l’interception, au déchiffrement ou à l’usurpation de compte.

Meta a déclaré avoir corrigé le problème d’énumération, minimisé la sensibilité des données exposées, et n’a pas abordé les problèmes de clés publiques ni le fait qu’elle avait été avertie de cette faille majeure près d’une décennie plus tôt.

Publicités ciblées sur toutes les plateformes Meta

WhatsApp dit ne pas utiliser le contenu des messages pour les publicités(nouvelle fenêtre), mais utilise d’autres données — comme les infos de compte (code pays, âge), les infos de l’appareil (langue, emplacement) et l’activité dans les statuts et les chaînes (ce que vous regardez, suivez ou sur quoi vous cliquez). Parce que WhatsApp fait partie de Meta, ces données peuvent être partagées entre Facebook et Instagram, bien que ce partage de données soit limité en Europe grâce au RGPD.

Depuis que WhatsApp a changé sa politique de confidentialité en 2021, elle a également partagé des données de paiement et de transaction que vous avez pu avoir avec des entreprises avec Meta (alors Facebook). Si vous connectez WhatsApp au Centre de comptes de Meta, vos préférences publicitaires sont unifiées, ce qui signifie que les actions dans WhatsApp peuvent influencer les publicités que vous voyez ailleurs. Et avec de nouvelles fonctionnalités propulsées par l’IA Meta, le partage de données entre les plateformes soulève encore plus de préoccupations.

Entraînement de l’IA Meta

L’IA Meta est intégrée à WhatsApp, Facebook et Instagram, alimentant les inquiétudes sur la manière dont les données sont traitées, utilisées pour l’entraînement de l’IA et partagées entre ces plateformes.

Sur WhatsApp, Meta affirme que l’IA Meta n’accède pas à vos discussions privées chiffrées de bout en bout. Cependant, les invites et les commentaires que vous partagez avec l’IA Meta peuvent être stockés et utilisés pour améliorer ses modèles. WhatsApp propose également une fonctionnalité de résumé de conversation qui repose sur un “traitement privé”,(nouvelle fenêtre) ce qui, selon Meta, empêche les résumés d’être lus par l’entreprise ou qui que ce soit d’autre.

Même avec ces assurances, des inquiétudes subsistent quant au contrôle réel que les gens ont sur leurs données. Par exemple, des utilisateurs de Facebook ont signalé que l’IA Meta avait activé des paramètres lui permettant de scanner des photos non publiées de leur pellicule sans leur consentement.

Comment rester en sécurité sur WhatsApp

Voici ce que vous pouvez faire pour améliorer votre respect de la vie privée et votre sécurité lorsque vous utilisez WhatsApp :

  • Utilisez toujours les applications WhatsApp officielles de l’App Store ou de Google Play pour vous assurer que votre chiffrement de bout en bout fonctionne correctement.
  • Activez les notifications de sécurité sur votre téléphone pour recevoir des alertes lorsqu’un contact réinstalle WhatsApp, change de téléphone, ou ajoute ou retire un appareil lié.
  • Créez une clé d’accès pour pouvoir vous connecter à WhatsApp avec votre visage, votre empreinte digitale ou le verrouillage de l’écran. Cela empêche quelqu’un d’autre de se connecter même s’il obtient votre code SMS.
  • Ajoutez une adresse e-mail pour vérifier ou récupérer votre compte si vous en êtes exclu. Assurez-vous que votre adresse e-mail elle-même est sécurisée avec un mot de passe fort et une authentification à deux facteurs.
  • Activez les sauvegardes chiffrées de bout en bout pour protéger vos discussions dans iCloud ou Google Drive afin que même Apple, Google ou Meta ne puissent pas les lire. WhatsApp ne vous laisse pas choisir un fournisseur d’espace de stockage cloud. Sinon, vous devriez désactiver complètement les sauvegardes de discussion.
  • Ne partagez jamais votre code de vérification à six chiffres avec qui que ce soit. WhatsApp et Meta ne vous le demanderont jamais.
  • Demandez à votre opérateur mobile d’ajouter un PIN ou une phrase secrète avant que votre numéro puisse être transféré vers une autre carte SIM. Cela rend l’échange de carte SIM beaucoup plus difficile.
  • Ne téléchargez WhatsApp que depuis Google Play ou l’App Store et maintenez-le — ainsi que votre système d’exploitation mobile et de bureau — mis à jour vers la dernière version.
  • Ne jamais cliquer sur des liens ou installer des applications provenant de contacts WhatsApp inconnus ou suspects. Si vous avez des doutes sur un contact, contactez-le en utilisant une autre méthode pour confirmer son identité.
  • Verrouillez vos (nouvelle fenêtre)paramètres de confidentialité WhatsApp(nouvelle fenêtre) en limitant qui peut vous ajouter à des groupes et voir votre photo de profil, votre dernière présence et votre statut en ligne, votre section à propos et les liens sur votre profil.
  • Vous ne pouvez pas complètement désactiver l’IA Meta sur WhatsApp, mais vous pouvez prendre des mesures pour l’empêcher d’apprendre trop de choses de votre activité — et protéger vos messages pour qu’ils ne finissent pas dans les données d’entraînement de l’IA.

Choisir une application de messagerie instantanée plus privée

Bien que vous puissiez prendre des mesures pour améliorer votre sécurité et limiter ce que les autres utilisateurs de WhatsApp peuvent voir, cela ne change pas le fait que Meta compte toujours sur la collecte d’informations sur les utilisateurs, telles que les métadonnées, pour ses revenus. Si les récentes allégations des lanceurs d’alerte sont exactes, cet accès pourrait être encore plus large que ce que l’entreprise admet. Compte tenu de l’historique de violations du respect de la vie privée de Meta, un certain scepticisme est justifié.

Si ce niveau de contrôle vous inquiète, envisagez une alternative plus privée à WhatsApp qui collecte beaucoup moins de données et n’est pas liée à une entreprise de la Big Tech condamnée par les régulateurs pour son modèle publicitaire payant ou consenti.