WhatsApp : un ex-directeur sécurité attaque Meta pour négligences graves
Un ancien responsable sécurité de WhatsApp poursuit en justice Meta, accusant le groupe d'avoir systématiquement enfreint des normes de cybersécurité et d'avoir mené des représailles contre lui après avoir ignoré ses alertes répétées. L'assignation révèle des failles potentiellement massives dans la protection des données de milliards d'utilisateurs.
Photo: : LIONEL BONAVENTURE/AFP via Getty Images
Un ancien responsable sécurité de WhatsApp poursuit en justice Meta, accusant le groupe d’avoir systématiquement enfreint des normes de cybersécurité et d’avoir mené des représailles contre lui après avoir ignoré ses alertes répétées. Cette assignation déposée lundi 8 septembre devant la cour fédérale de San Francisco révèle des failles potentiellement massives dans la protection des données de milliards d’utilisateurs et soulève des questions sur le respect par Meta de ses engagements réglementaires post-Cambridge Analytica.
Des accusations explosives sur l’accès aux données
Attaullah Baig, qui a occupé le poste de directeur de la sécurité chez WhatsApp de 2021 à février 2025, formule des accusations particulièrement graves. Selon son assignation de 115 pages, environ 1.500 ingénieurs avaient un accès illimité à des données d’utilisateurs, sans supervision adéquate. Cette situation pourrait constituer une violation directe des sanctions imposées par le gouvernement américain en 2020 après le scandale Cambridge Analytica, qui avait abouti à une amende record de 5 milliards de dollars.
Selon les documents judiciaires, M. Baig a découvert lors de tests internes que les ingénieurs pouvaient « déplacer ou voler les données des utilisateurs », y compris les coordonnées et les photos de profil, « sans détection ni traçabilité ». Cette capacité d’accès non contrôlé aux données personnelles de plus de 2 milliards d’utilisateurs de WhatsApp constitue, selon l’ancien responsable, une faille sécuritaire majeure.
Le plaignant affirme avoir soulevé ces problèmes à plusieurs reprises auprès des dirigeants, notamment Will Cathcart, patron de WhatsApp, et Mark Zuckerberg lui-même, PDG de Meta. Ces alertes auraient été systématiquement ignorées ou minimisées par la hiérarchie, selon l’assignation.
Une défense ferme de Meta face aux accusations
Meta a rejeté avec véhémence ces accusations par la voix de Carl Woog, vice-président de la communication chez WhatsApp. « Il s’agit malheureusement d’un scénario bien connu : un ancien employé est licencié pour mauvaises performances puis rend publiques des allégations déformées qui travestissent le travail soutenu de notre équipe », a-t-il déclaré à l’AFP.
L’entreprise soutient que les alertes de M. Baig ont été prises en compte mais jugées trop générales ou faisant doublon avec d’autres signalements. Meta conteste également les accusations de représailles, affirmant que le ministère du Travail, saisi par l’ingénieur, a écarté ces accusations après examen.
Cette position défensive de Meta s’inscrit dans une stratégie habituelle de l’entreprise face aux critiques sur sa gestion de la sécurité et de la vie privée, consistant à remettre en cause la crédibilité des lanceurs d’alerte.
Un parcours de whistleblower classique
M. Baig affirme que ses premiers signalements en 2021 lui ont valu des représailles croissantes : évaluations de performance négatives, avertissements verbaux, puis licenciement en février 2025 pour de prétendues « mauvaises performances ». Ce schéma correspond aux témoignages récurrents de lanceurs d’alerte dans l’industrie technologique.
Les documents judiciaires détaillent cette escalade : après ses rapports initiaux en 2021, Baig aurait fait face à une « escalade des représailles » incluant des évaluations négatives et des avertissements verbaux, avant son licenciement en février 2025.
Cette chronologie suggère un pattern de rétorsion que les spécialistes du droit du travail identifient fréquemment dans les affaires de whistleblowing, particulièrement dans le secteur technologique où la sécurité des données constitue un enjeu stratégique majeur.
WhatsApp attend actuellement une décision dans l’affaire antitrust de la FTC contre Meta, suite à la conclusion du procès en mai 2025. Ce procès historique, qui s’est achevé après des semaines d’audiences, pourrait contraindre Meta à céder WhatsApp et Instagram si le juge James Boasberg conclut à l’existence d’un monopole illégal. (Photo : DREW ANGERER/AFP via Getty Images)
Des failles critiques dans la lutte anti-piratage
L’assignation révèle également que Meta aurait bloqué la mise en œuvre de mesures de lutte contre les détournements de comptes, qui toucheraient environ 100.000 utilisateurs de WhatsApp chaque jour. Cette donnée, si elle se confirmait, révélerait l’ampleur des compromissions quotidiennes sur la plateforme.
Selon le document judiciaire, Meta aurait délibérément privilégié la croissance des utilisateurs à la sécurité, retardant ou bloquant les implémentations de fonctionnalités de sécurité qui auraient pu freiner l’adoption de la plateforme. Cette approche rappelle les critiques formulées lors du scandale Cambridge Analytica concernant la prioritisation de la croissance sur la protection des utilisateurs.
Cette allégation est particulièrement sensible dans un contexte où WhatsApp revendique son chiffrement de bout en bout comme gage de sécurité, mais où les métadonnées et l’accès technique aux systèmes peuvent révéler des informations sensibles sur les utilisateurs.
Un contexte réglementaire sous haute tension
Cette affaire survient dans un environnement réglementaire particulièrement défavorable à Meta. WhatsApp attend actuellement une décision dans l’affaire antitrust de la FTC contre Meta, suite à la conclusion du procès en mai 2025. Ce procès historique, qui s’est achevé après des semaines d’audiences, pourrait contraindre Meta à céder WhatsApp et Instagram si le juge James Boasberg conclut à l’existence d’un monopole illégal.
L’accord de 2020 post-Cambridge Analytica, qui reste en vigueur jusqu’en 2040, impose à Meta des obligations strictes en matière de protection des données et de transparence. Toute violation de cet accord pourrait entraîner des sanctions financières colossales et un renforcement de la surveillance réglementaire.
Dans ce contexte, les révélations de M. Baig prennent une dimension politique et judiciaire majeure, pouvant alimenter les arguments des régulateurs américains et européens favorable à un démantèlement ou à une régulation renforcée des géants technologiques.
Des précédents inquiétants chez Meta
L’affaire Baig s’ajoute aux critiques persistantes sur les pratiques de protection des données de Meta à travers ses plateformes Facebook, Instagram et WhatsApp, utilisées quotidiennement par plus de 3 milliards d’utilisateurs dans le monde.
Une autre affaire visant Meta, rapportée lundi par le Washington Post, révèle que des employés actuels et anciens accusent l’entreprise d’avoir supprimé des recherches sur les risques pour la sécurité des enfants dans les produits de réalité virtuelle. Meta nie ces accusations, affirmant faire de la sécurité des jeunes une priorité et se conformer aux lois en vigueur.
Ces révélations convergentes dessinent le portrait d’une entreprise accusée de systématiquement sacrifier la sécurité de ses utilisateurs au profit de sa croissance et de ses intérêts commerciaux, malgré ses engagements publics et réglementaires.
Les enjeux économiques et géopolitiques
Au-delà des questions techniques, cette affaire soulève des interrogations géopolitiques majeures. WhatsApp, utilisé par plus de 2 milliards de personnes, constitue une infrastructure critique de communication mondiale. Les failles de sécurité alléguées pourraient exposer des dirigeants politiques, des journalistes et des militants à des risques de surveillance ou de cyberattaques.
L’Union européenne, qui a déjà infligé des amendes record à Meta, surveille attentivement ces développements dans le cadre de l’application du Digital Services Act et du Digital Markets Act. Ces révélations pourraient alimenter de nouvelles procédures réglementaires européennes.
Vers un tournant pour Meta
Cette assignation marque potentiellement un tournant dans la perception de Meta par les régulateurs et l’opinion publique. Les témoignages internes de M. Baig, étayés par des documents techniques, pourraient fournir aux autorités américaines des preuves tangibles de négligences systémiques dans la protection des données.
L’issue de cette affaire pourrait influencer durablement les pratiques de sécurité de l’industrie technologique et redéfinir les responsabilités des dirigeants en matière de cybersécurité. Elle intervient alors que l’administration Trump intensifie sa pression réglementaire sur les « Big Tech », dans un contexte de rivalité technologique avec la Chine.
Pour Meta, les enjeux dépassent largement les aspects financiers : la crédibilité de son modèle économique basé sur la collecte de données et sa capacité à maintenir la confiance de milliards d’utilisateurs sont directement questionnées par ces révélations explosives.
Articles actuels de l’auteur
