Meta renforce la recherche en sécurité de WhatsApp avec une prime de 4 millions de dollars.

Meta a étendu son programme de primes aux bogues pour WhatsApp, annonçant de nouvelles incitations pour améliorer la recherche en sécurité sur la plateforme de messagerie, ainsi qu'une récompense de 4 millions de dollars pour les hackers éthiques qui découvrent des vulnérabilités.

D'après le communiqué de presse publié mardi par l'entreprise technologique, WhatsApp représente une cible lucrative pour les pirates informatiques parrainés par des États et les développeurs de logiciels espions commerciaux. Meta a indiqué que cette nouvelle initiative vise à faciliter le travail des chercheurs en sécurité pour enquêter sur les stratégies de piratage utilisées spécifiquement sur l'application de messagerie.

Meta lance WhatsApp Research Proxy pour les chercheurs de primes aux bogues

Meta a lancé un outil appelé WhatsApp Research Proxy afin d'aider les chercheurs en sécurité à examiner plus efficacement le protocole réseau de la plateforme de messagerie. Initialement disponible pour un groupe restreint de participants réguliers au programme de primes aux bogues, cet outil, selon l'entreprise, simplifie les investigations sur l'infrastructure de WhatsApp.

L'outil Research Proxy a pour but de contribuer à la découverte de vulnérabilités qui pourraient autrement passer inaperçues, et des plans visant à étendre progressivement l'accès à un plus grand nombre de chercheurs sont en cours, ce qui mènera à sa publication dans les prochains mois.

« Notre objectif est de faciliter l'accès à notre programme aux universitaires et autres chercheurs moins familiers avec les programmes de primes aux bogues », a déclaré un porte-parole de Meta. « Les clients et l'infrastructure serveur de WhatsApp sont des cibles privilégiées, mais aussi parmi les surfaces les plus difficiles à exploiter pour la détection de bogues. »

Meta verse 25 millions de dollars en récompenses pour la participation mondiale à la chasse aux bugs

Meta a confirmé avoir déjà versé 4 millions de dollars cette année pour près de 800 rapports validés. Au cours des 15 dernières années, l'entreprise a distribué plus de 25 millions de dollars à 1 400 chercheurs issus de 88 pays et a reçu environ 13 000 candidatures de chercheurs en sécurité du monde entier.

Selon le dernier article du blog de la société mère de Facebook et Instagram, des chercheurs universitaires de l'Université de Vienne ont récemment fait état d'une nouvelle méthode permettant de recenser les comptes WhatsApp à grande échelle. 

L'étude de l'Université de Vienne a généré des listes de numéros de téléphone potentiels à l'aide d'outils open source et a vérifié si les numéros enregistrés sur WhatsApp contenaient des informations accessibles au public. Bien que la recherche ait dépassé les limites prévues par la plateforme, Meta a indiqué qu'elle avait révélé des failles de sécurité importantes qu'il lui fallait corriger.

D'autres bugs ont été découverts dans une faille de validation incomplète sur les versions de WhatsApp antérieures à la v2.25.23.73, WhatsApp Business pour iOS v2.25.23.82 et WhatsApp pour Mac v2.25.23.83. 

Ces vulnérabilités auraient pu permettre à des attaquants de traiter du contenu récupéré depuis des URL arbitraires sur l'appareil d'un autre utilisateur. Meta a publié un correctif au niveau du système d'exploitation pour remédier à la vulnérabilité CVE-2025-59489, une faille qui aurait pu installer un logiciel malveillant sur les appareils Quest afin d'exécuter du code arbitraire sur les applications Unity.

Lors de sa conférence annuelle des chercheurs en primes aux bogues, le chercheur en sécurité RyotaK a remporté le prix du « Plus grand impact » pourdentdes bogues liés à la vulnérabilité des appareils Quest, vulnérabilité tracprovenait du code tiers d'Unity. Le chercheur a collaboré avec Unity pour résoudre le problème affectant les applications développées avec Unity 2017.1 et versions ultérieures.

Meta revendique une victoire juridique dans une affaire antitrust contre la FTC américaine.

L'annonce du programme de primes aux bogues de Meta intervient peu après une victoire juridique dans son procès antitrust contre la Commission fédérale du commerce américaine, comme l' Cryptopolitan mardi.  a rapporté

Il y a cinq ans, la FTC affirmait que Meta détenait un monopole sur les réseaux sociaux via Instagram et WhatsApp. Dans un avis motivé, le juge James Boasberg, du tribunal de district des États-Unis à Washington, D.C., a déclaré que la FTC n'avait pas réussi à prouver ses allégations. 

« Que Meta ait ou non enjd'un pouvoir de monopole par le passé, l'agence doit démontrer qu'elle le détient encore aujourd'hui. Le verdict rendu ce jour par la Cour établit que la FTC n'a pas apporté cette preuve. Un jugement en ce sens sera rendu ce jour. »

Le PDG de Meta, Mark Zuckerberg, l'ancienne directrice des opérations, Sheryl Sandberg, le cofondateur d'Instagram, Kevin Systrom, et d'autres dirigeants ont tous témoigné en début d'année. Le tribunal avait rejeté l'affaire en 2021 faute de preuves, bien que la FTC ait déposé une plainte modifiée la même année, incluant des données et des indicateurs utilisateurs actualisés. 

Boasberg a autorisé la poursuite de l'affaire en 2022 après un réexamen, mais il a finalement statué en faveur de Meta cette semaine.

Joe Simonson, directeur des affaires publiques de la FTC, a soutenu que Meta était favorisée par le juge Boasberg, qui, selon lui, était « actuellement confronté à une procédure de destitution ». 

« Nous étudions toutes nos options », a déclaré Simonson aux journalistes après le jugement, laissant entendre qu'un autre appel pourrait être interjeté.