WhatsApp va introduire les noms d’utilisateur afin de permettre à ses membres d’échanger sans communiquer immédiatement leur numéro de téléphone. Présentée comme une avancée en matière de confidentialité, cette nouveauté ouvre aussi un nouveau terrain de jeu pour les fraudeurs : celui des identifiants usurpés, des faux comptes et des messages de confiance mal placée.
WhatsApp s’apprête à modifier l’un de ses principes historiques. Jusqu’à présent, pour contacter quelqu’un sur l’application, il fallait connaître son numéro de téléphone. Meta a annoncé le 29 juin dernier l’arrivée de noms d’utilisateur, que les membres peuvent commencer à réserver avant le déploiement effectif de la fonctionnalité plus tard dans l’année. L’objectif étant de permettre un échange avec une personne, une entreprise ou une organisation sans exposer son numéro personnel.
Un identifiant à la place du numéro
Concrètement, chaque utilisateur pourra choisir un nom d’utilisateur unique. La réservation se fera depuis l’application, dans les paramètres du compte. WhatsApp précise qu’il n’y aura pas d’annuaire public ni de système de suggestion. Pour contacter quelqu’un, il faudra donc connaître son identifiant exact. L’application prévoit aussi une « clé » optionnelle associée au nom d’utilisateur, afin de limiter les messages entrants non sollicités.
Le mécanisme ne supprime pas pour autant le numéro de téléphone. Celui-ci restera indispensable pour créer un compte WhatsApp, comme le rappelle la politique de confidentialité de l’application. Le nom d’utilisateur vient donc s’ajouter au numéro ; il ne le remplace pas totalement dans l’architecture du service.
Pour les particuliers, l’intérêt est évident. Ils pourront, en effet, rejoindre un groupe, échanger avec un vendeur, un livreur, un professionnel ou une personne rencontrée ponctuellement sans livrer son numéro personnel. Pour les marques, créateurs et organisations, WhatsApp prévoit aussi la possibilité de revendiquer un identifiant déjà utilisé sur Facebook ou Instagram, afin de conserver une cohérence de présence dans l’écosystème Meta.
Une vraie avancée de confidentialité, mais pas d’anonymat
Cette nouveauté répond au fait que le numéro de téléphone est devenu un identifiant sensible. Et c’est un réel problème. Il sert à être contacté, mais aussi à récupérer des comptes, recevoir des codes d’authentification, être ciblé par SMS frauduleux ou être recoupé avec d’autres bases de données.
Masquer ce numéro dans certains échanges réduit donc l’exposition directe. C’est utile, notamment dans les groupes ouverts, les échanges commerciaux ou les contacts ponctuels. Mais il ne faut pas confondre confidentialité et anonymat. WhatsApp continuera de connaître le numéro associé au compte. Et même si les messages personnels sont chiffrés de bout en bout, l’application indique traiter certaines informations techniques et de fonctionnement, notamment des données liées aux appels ou messages comme le numéro, la date, l’heure ou la durée, lorsque cela est nécessaire au service, à la sécurité ou à ses obligations légales.
Autrement dit, le contenu des conversations reste protégé, mais l’écosystème d’identification et de métadonnées ne disparaît pas. Le gain porte d’abord sur ce que les autres utilisateurs voient, pas sur ce que la plateforme peut techniquement associer à un compte.
Le nouveau risque : croire trop vite à un nom d’utilisateur
Reste que dès qu’un service introduit des identifiants publics, il crée un risque d’usurpation. Un fraudeur pourra chercher à réserver un nom proche de celui d’une marque, d’un dirigeant, d’un service client, d’une administration ou d’un média. WhatsApp indique vouloir bloquer ou réserver certains noms liés à des personnalités, célébrités, organisations et entités publiques pour limiter ces abus. Mais cette protection ne couvrira jamais tous les cas, toutes les variantes ou toutes les petites entreprises.
Le danger est très concret. Un faux compte ressemblant à celui d’une banque, d’un transporteur, d’un fournisseur ou d’un service RH pourrait contacter une victime avec un message crédible : vérification de compte, retard de livraison, changement d’IBAN, confirmation d’identité, problème de paiement, etc. Bref, la panoplie complète des messages du bon petit escroc. Le numéro n’apparaissant plus, certains utilisateurs risquent même d’accorder davantage de confiance au nom affiché.
Et c’est là que la fraude peut être dangereuse, car elle exploite les réflexes humains. Le nom d’utilisateur deviendra un signal de confiance. Et tout signal de confiance devient, tôt ou tard, une cible.
Autre risque probable, celui de campagnes de phishing liées à la réservation des identifiants. Avec trois milliards d’utilisateurs concernés, des messages du type « réservez votre nom WhatsApp avant qu’il ne soit pris » ou « vérifiez votre identifiant officiel » pourraient circuler rapidement. Le piège consistera à pousser l’utilisateur vers une fausse page de connexion ou à lui faire communiquer un code de validation.
Moralité, ne considérez jamais un nom d’utilisateur comme une preuve d’identité. Pour les marques, les médias, les administrations et les dirigeants exposés, il faudra réserver rapidement les identifiants pertinents, surveiller les variantes proches et communiquer clairement les canaux officiels. Pour les utilisateurs, il faudra se méfier des premiers messages, surtout lorsqu’ils demandent une action urgente, un paiement, un code ou une information personnelle.
WhatsApp corrige une faiblesse réelle en évitant de diffuser trop facilement les numéros de téléphone. Mais cette amélioration n’élimine pas le sujet de la confiance, elle le déplace.