Un outil technique a été rendu public et peut être utilisé par des personnes malveillantes pour extraire des informations sur les utilisateurs de l’application Whatsapp (et Signal) et, surtout, déduire leur localisation avec plus ou moins de précision.
Le mécanisme : analyser le comportement du téléphone
Contrairement à un piratage classique, cette attaque ne vise pas à lire vos messages, mais à analyser le comportement physique de votre téléphone. En croisant trois signaux techniques invisibles, un attaquant peut construire un profil de localisation redoutable.
Concrètement, l’outil malveillant exploite la corrélation entre :
Le temps de réaction : La vitesse à laquelle un message affiche « distribué » ou « lu » varie selon la distance et la qualité du réseau, mais aussi en fonction de l’activité de l’utilisateur (par exemple, un utilisateur se trouvant chez lui lit plus rapidement les messages qu’un utilisateur se trouvant dans les transports, ou sur son lieu de travail).
La consommation de batterie : Le téléphone consomme plus ou moins d’énergie pour traiter les données selon qu’il se trouve dans un bâtiment blindé, près d’une antenne relais, connecté au Wifi, …
L’activité en ligne : Savoir exactement quand l’utilisateur est actif permet de valider les données précédentes.
Un risque réel, illustré par l’actualité 2025 En analysant ces métadonnées, une intelligence artificielle peut localiser une cible sans aucun accès GPS. Ce danger n’est pas théorique : il rappelle les incidents révélés courant 2025, où des applications tierces (notamment de sport) ont permis de tracer les déplacements de personnels disposant de connaissances importantes concernant la sécurité de sites prioritaires, exposant ainsi des sites sensibles et des habitudes de vie que l’on croyait protégées par le secret. Sur WhatsApp, la logique est la même : ce sont les « signaux faibles » de l’application qui permettent la surveillance des déplacements ou le profilage des habitudes de vie.
Configurer Whatsapp pour limiter les traces
L’attaque reposant sur les réponses automatiques de l’application, il est possible de limiter l’efficacité des outils de traçage en réglant correctement les paramètres de confidentialité de Whatsapp.
A noter que le réglage par défaut des paramètres de confidentialité de Whatsapp est très permissif.
Première étape : se rendre dans les paramètres
Pour vous rendre dans les paramètres :
Sur ordinateur : en bas à gauche de votre écran, vous verrez votre icône utilisateur, et une roue crantée. Cliquez sur la roue crantée pour accéder à vos paramètres.
Sur téléphone : Ouvrez Whatsapp. En haut à droite de votre appareil, vous verrez une colonne composée de 3 points (à droite de l’icône d’appareil photo). Appuyez dessus, puis sélectionnez « Paramètres ».
Une fois dans vos paramètres, vous pouvez sélectionner l’onglet « Confidentialité ».
Deuxième étape : modifier vos paramètres
Ici, les paramètres qui vont nous intéresser sont les suivants :
– Présence en ligne
– Photos en ligne
– Infos
– Statut
– Confirmations de lecture
Ces paramètres seront par défaut sur la valeur « Tout le monde ». Il est conseillé de les passer en « Mes contacts » a minima. Les personnes disposant de votre numéro de téléphone auront ainsi accès à moins d’informations concernant votre profil.
Il est recommandé également de désactiver les confirmations de lecture. Dans vos groupes de discussion, vos interlocuteurs pourront toujours savoir si vous avez pu lire leur message, mais dans vos discussions avec un seul interlocuteur, les conformations de lecture ne seront plus envoyées. Les confirmations de lecture font partie des informations récupérées notamment par les attaquants.
Pour aller plus loin
Vous pouvez également, si vous le souhaitez :
– restreindre dans « Groupes » les personnes pouvant vous ajouter à un groupe Whatsapp ;
– choisir de bloquer par défaut les messages provenant de sources inconnues ;
– désactiver l’aperçu automatique des liens web qui vous sont partagés (ce qui limite les informations récupérées par cookies et traceurs depuis ces sites).
Alors que Whatsapp et Signal se sont imposées depuis plusieurs années comme des messageries massivement utilisées, et supposément sécurisées (notamment avec le chiffrement de bout en bout des conversations), de nouvelles messageries émergent aujourd’hui, comme Olvid, pour améliorer la sécurité offerte aux utilisateurs.
N’hésitez donc pas à faire le choix de nouveaux outils plus respectueux de la vie privée !
_____________________________________
Vous avez des questions sur la protection des données personnelles au sein de votre organisme ? Contactez-nous pour découvrir comment nous accompagnons entreprises et administrations dans leur démarche de conformité.