WhatsApp : une faille expose les conversations en clair sur iPhone, accessible à Facebook et Instagram

Une vulnérabilité dans le stockage local de WhatsApp

Selon des chercheurs en sécurité, WhatsApp enregistre l’intégralité de l’historique des conversations dans un fichier non chiffré nommé « Axolotl.sqlite ». Ce fichier est placé dans un conteneur partagé, désigné sous l’identifiant « group.net.whatsapp.WhatsApp.shared », qui est techniquement accessible à toutes les applications du même développeur – en l’occurrence Meta – installées sur le même appareil. Cela concerne aussi bien iOS que macOS.

Contrairement à une idée répandue, le chiffrement de bout en bout (E2EE) ne protège les messages qu’en transit entre l’expéditeur et le destinataire. Une fois le message reçu et déchiffré sur l’appareil, il est stocké en clair dans la base de données SQLite. Aucun chiffrement complémentaire n’est appliqué au niveau de l’application. Ainsi, toute autre application Meta – Facebook, Instagram, Messenger – disposant d’un accès légitime au conteneur partagé peut potentiellement lire le contenu des conversations WhatsApp.

Apple autorise ce partage via une fonctionnalité native de ses systèmes, qui permet aux applications d’un même éditeur d’échanger des données dans un espace commun. Cette pratique ne viole pas les règles de sandboxing d’Apple, mais elle n’est pas signalée à l’utilisateur. Aucune permission explicite n’est requise pour qu’une autre application du groupe accède à ce dossier.

Une action judiciaire lancée contre Meta

Cette découverte est au cœur d’une action collective déposée par le cabinet d’avocats Quinn Emanuel à l’encontre de Meta. Selon l’analyste Matthew Green, spécialiste en cryptographie, c’est précisément cette faille dans la protection des données au repos qui a motivé la plainte. Meta est accusé d’avoir accès aux messages WhatsApp de manière non autorisée, ce que l’entreprise conteste.

Une enquête a été ouverte plus tôt dans l’année sur le chiffrement des messages de WhatsApp, et l’équipe de développement de l’application travaille actuellement sur sa propre infrastructure de sauvegarde cloud avec un chiffrement de bout en bout activé par défaut, afin de réduire la dépendance aux solutions d’Apple et de Google.

Quelles protections pour l’utilisateur ?

À ce stade, aucun correctif n’a été annoncé par Meta ou Apple. Les utilisateurs souhaitant limiter les risques peuvent envisager des messageries alternatives comme Signal, qui applique un chiffrement de bout en bout et ne stocke pas les messages en clair sur l’appareil. En attendant, les données des conversations WhatsApp restent vulnérables à un accès indirect par d’autres applications du même éditeur, sans que l’utilisateur en soit averti.