Attaullah Baig, ancien respon­s­able de la sécu­rité de What­sApp, a porté plainte con­tre Meta. Selon l’assignation déposée le 8 sep­tem­bre dernier auprès de la Cour fédérale de San Fran­cis­co, il affirme avoir été licen­cié en repré­sailles à ses ten­ta­tives de ren­forcer la sécu­rité de la messagerie.

Attaullah Baig, un expert reconnu

Si Meta assure que Baig a été remer­cié pour « insuff­i­sance pro­fes­sion­nelle », son par­cours con­tred­it cette ver­sion : loin d’être un pro­fil sec­ondaire, il avait déjà dirigé des équipes de cyber­sécu­rité dans des envi­ron­nements très sen­si­bles comme Pay­Pal et Cap­i­tal One, deux mastodontes de la finance en ligne où la sécu­rité est absol­u­ment cri­tique. Il a par ailleurs été CTO (Chief Tech­nol­o­gy Offi­cer, c’est-à-dire directeur tech­nique), ce qui le place au som­met des respon­s­abil­ités tech­niques dans une entre­prise, avant de rejoin­dre What­sApp en jan­vi­er 2021. Après un par­cours remar­qué au « boot­camp » d’intégration de Meta, il prend en févri­er 2021 la tête de la sécu­rité de WhatsApp.

Très vite, il décou­vre que l’entreprise n’a mis en place une équipe de cyber­sécu­rité que récem­ment, à la suite du rap­port d’Amnesty Inter­na­tion­al sur le logi­ciel espi­on Pega­sus. Celui-ci peut, rap­pelons-le, pren­dre le con­trôle total d’un télé­phone sans action de l’utilisateur. What­sApp con­tin­ue encore aujourd’hui à cor­riger des failles de ce type, par­fois con­nues depuis des années.

Voir aus­si : Dou­ble stan­dard : la mes­sagerie russe MAX sous le feu des critiques

La sécurité chez WhatsApp ? Un constat alarmant

En cher­chant à établir un état des lieux, Baig con­state l’absence totale de doc­u­men­ta­tion sur les don­nées col­lec­tées. Ses tests révè­lent que 1 500 ingénieurs de Meta, et non de What­sApp seule­ment, dis­posent d’un accès en pro­duc­tion aux don­nées des util­isa­teurs, inclu­ant car­nets d’adresses et infor­ma­tions de contacts.

Son équipe de sécu­rité ne compte alors que six per­son­nes, et il ne parvient pas à l’agrandir au-delà de dix. Dans le même temps, il remar­que que de nom­breux ingénieurs mul­ti­plient les tâch­es arti­fi­cielles pour pro­gress­er en interne, plutôt que de traiter les ques­tions de fond.

Baig pro­pose alors des mesures élé­men­taires : jour­nalis­er les accès aux don­nées, dress­er un inven­taire, car­togra­phi­er l’infrastructure. Mais sa hiérar­chie bloque ses ini­tia­tives et min­imise les risques. En sep­tem­bre 2022, il prévient même la direc­tion que What­sApp pour­rait être en infrac­tion avec l’accord con­clu avec la FTC en 2019, qui avait déjà coûté 5 mil­liards de dol­lars à Meta.

Voir aus­si : What­sApp en sur­sis en Russie : entre sou­veraineté numérique et enjeux géopoli­tiques, chronique d’une rup­ture annoncée

Les représailles de Meta

Peu après, Baig dit avoir été placé sous micro-man­age­ment et classé « à amélior­er ». Mal­gré cela, il met au point une pro­tec­tion con­tre le « pro­fil scrap­ing », qui per­me­t­tait à des tiers de col­lecter des don­nées publiques et même de déduire si deux per­son­nes échangeaient entre elles. Il cor­rige ce prob­lème seul, en 2022, sans sou­tien de sa direction.

À ses yeux, What­sApp et Meta fonc­tion­nent comme des organ­i­sa­tions fer­mées pour ne pas dire sec­taires, où les déci­sions de la hiérar­chie ne sont pas dis­cutées, même si elles impliquent de men­tir aux autorités et aux utilisateurs.

Voir aus­si : Cap­i­tal­isme de sur­veil­lance : Cam­bridge Ana­lyt­i­ca renaît-elle ? Une agence d’espionnage privée arme à nou­veau Facebook

Une question de confiance ?

Le réc­it d’Attaullah Baig met en lumière un para­doxe glaçant : nous con­fions nos don­nées les plus intimes à des entre­pris­es qui se par­ent du lan­gage de la pro­tec­tion et de l’éthique, tout en con­stru­isant en couliss­es des sys­tèmes béants où la sécu­rité n’est qu’un sim­u­lacre. Ce n’est pas seule­ment une ques­tion d’incompétence : c’est une mécanique de dis­sim­u­la­tion, où la rentabil­ité prime sur la vérité, et où l’utilisateur n’est qu’un gise­ment de don­nées exploitable à merci.

Face à cela, Baig incar­ne la fig­ure isolée de ceux qui osent bris­er l’omerta au cœur des géants numériques. Sa tra­jec­toire rap­pelle une évi­dence dérangeante : dans l’univers de Meta, la vie privée n’est pas un droit à pro­téger, mais un obsta­cle à contourner.

Yves Leje­une
Source : Take Back Our Tech, 19/09/2025

Note à propos de “Pegasus”

• Le logi­ciel espi­on Pega­sus, dévelop­pé par la société israéli­enne NSO Group, n’est pas une appli­ca­tion que l’on télécharge : c’est un out­il d’intrusion sophis­tiqué, util­isé par des États pour infil­tr­er des smartphones.
• Plusieurs rap­ports d’Amnesty Inter­na­tion­al et de Cit­i­zen Lab (Toron­to) ont mon­tré que Pega­sus exploitait des failles de iMes­sage (sans clic néces­saire), y com­pris sur les ver­sions récentes d’iOS.
• Pega­sus exploite toutes sortes de failles dans les appli­ca­tions de com­mu­ni­ca­tion les plus util­isées (What­sApp, iMes­sage, Face­Time, etc.), car elles offrent un point d’entrée uni­versel. Ces attaques dites zero-click per­me­t­taient d’installer Pega­sus sim­ple­ment par la récep­tion d’un mes­sage invisible.