Un ancien dirigeant de la cybersécurité chez WhatsApp a déposé lundi une plainte contre la maison-mère Meta, l’accusant d’avoir ignoré des failles internes majeures dans la sécurité de l’application, mettant ainsi en danger les données de milliards d’utilisateurs. Selon lui, l’entreprise aurait systématiquement enfreint les règles de cybersécurité tout en le sanctionnant après qu’il ait alerté sur ces vulnérabilités.
Attaullah Baig, responsable de la sécurité chez WhatsApp de 2021 à 2025, affirme qu’environ 1 500 ingénieurs avaient un accès non contrôlé aux données des utilisateurs, ce qui pourrait constituer une violation d’une injonction gouvernementale américaine, qui avait infligé en 2020 à Meta une amende de 5 milliards de dollars.
Il dénonce également l’incapacité de la société à endiguer le piratage et la prise de contrôle quotidienne de plus de 100 000 comptes. Malgré ses alertes et propositions de remédiation, Meta aurait préféré privilégier la croissance du nombre d’utilisateurs au détriment de la sécurité. Cette plainte, déposée auprès d’un tribunal fédéral de San Francisco, accuse Meta – propriétaire de Facebook – de ne pas avoir mis en place des mesures basiques de cybersécurité, notamment en matière de gestion des données et de détection des intrusions.
Dans sa plainte exhaustive de 115 pages, Baig explique avoir découvert, grâce à des tests internes, que certains ingénieurs WhatsApp pouvaient « déplacer ou dérober des données utilisateur » telles que contacts, adresses IP et photos de profil, « sans surveillance ni trace d’audit ».
Il assure avoir alerté à plusieurs reprises les hauts responsables, dont le directeur de WhatsApp, Will Cathcart, ainsi que Mark Zuckerberg, PDG de Meta. Rappelons que WhatsApp a été acquis pour 19 milliards de dollars par Meta en 2014 et compte aujourd’hui près de trois milliards d’utilisateurs.
De son côté, Carl Woog, vice-président de la communication chez WhatsApp, a répondu que cette démarche s’inscrivait dans une stratégie connue : un ancien employé critiqué pour ses résultats se défend publiquement en déformant les faits et en minimisant le travail accompli par l’équipe.
Baig affirme avoir été victime de représailles après ses alertes de 2021, avec des évaluations négatives, avertissements verbaux et finalement un licenciement en février 2025 pour « insuffisance professionnelle ».
Meta maintient que son départ s’explique par des performances en dessous des attentes, validées par plusieurs ingénieurs seniors. L’administration américaine en charge de la sécurité au travail a rejeté la plainte initiale de Baig, ne constatant aucune mesure de représailles.
Avant de rejoindre Meta, Baig avait déjà une expérience notable en cybersécurité chez PayPal, Capital One et d’autres grandes institutions financières. Il avait déposé des plaintes auprès de régulateurs fédéraux, dont la Securities and Exchange Commission, avant d’engager cette action en justice.
Cette affaire intervient dans un contexte de contrôle accru des pratiques de protection des données chez Meta, qui gère Facebook, Instagram et WhatsApp, des plateformes utilisées par des milliards de personnes à travers le monde.
En 2020, Meta avait accepté un accord avec le gouvernement américain à la suite du scandale Cambridge Analytica, portant sur la collecte abusive de données de 50 millions d’utilisateurs Facebook. Cet accord reste en vigueur jusqu’en 2040.
Dans sa plainte de lanceur d’alerte, Baig réclame sa réintégration, le paiement de salaires non versés, des dommages et intérêts, ainsi que des actions réglementaires contre Meta.
Points à retenir
- Un ancien responsable de la sécurité de WhatsApp accuse Meta de négligence grave en matière de cybersécurité.
- Près de 1 500 ingénieurs auraient eu accès à des données sensibles sans contrôle suffisant, ce qui pourrait violer une injonction fédérale américaine.
- Les tentatives de Baig pour protéger les utilisateurs auraient été ignorées au profit de la croissance du service.
- La plainte souligne un problème systémique de gestion des données personnelles sur une application utilisée par trois milliards de personnes.
- Meta réfute les accusations, soulignant que Baig a été licencié pour raisons professionnelles, tandis que les autorités américaines n’ont pas retenu ses accusations de représailles.
- L’affaire rappelle le scandale Cambridge Analytica et renforce la vigilance autour des géants du numérique et de la protection des données.
À l’heure où la protection des données personnelles est une préoccupation mondiale majeure, cette plainte soulève des questions fondamentales sur les priorités des grandes plateformes numériques. Entre croissance exponentielle et sécurité, les choix faits par ces entreprises impactent directement la vie privée de milliards d’utilisateurs.
En fin de compte, on peut se demander si les entreprises comme Meta sauront un jour réellement concilier innovation, performance et responsabilité. Mais bon, qui suis-je pour juger ? Après tout, ignorer les problèmes et punir ceux qui les signalent, c’est peut-être la nouvelle recette du succès en Silicon Valley… ou pas.