L'ancien responsable de la sécurité de WhatsApp poursuit Meta pour des vulnérabilités de confidentialité

4 octobre 2025

Un ancien cadre de la sécurité chez Meta a poursuivi la société, affirmant que WhatsApp présente des "défaillances systémiques en matière de cybersécurité" qui compromettent les protections de la vie privée des utilisateurs.

Attaullah Baig, ancien responsable de la sécurité de WhatsApp, a déposé une plainte lundi en Californie. Il affirme que Meta l'a puni après qu'il a signalé des problèmes de sécurité directement à Mark Zuckerberg. Des choses sérieuses.

Un lanceur d'alerte signale des failles de sécurité sur WhatsApp

Les documents judiciaires racontent une histoire intéressante. Baig a rejoint WhatsApp en 2021. Il a rapidement découvert des problèmes de sécurité qui pourraient violer les lois fédérales sur les valeurs mobilières et le règlement de confidentialité de la FTC de Meta de 2020. Pas bon.

Cette affaire survient alors que Meta lutte contre d'autres problèmes juridiques, y compris le procès antitrust de la FTC concernant les acquisitions d'Instagram et de WhatsApp.

Dans son procès, Baig affirme quelque chose de plutôt alarmant. Lors d'un examen de sécurité avec l'équipe centrale de Meta, il a découvert environ 1 500 ingénieurs WhatsApp ayant un accès illimité aux données sensibles des utilisateurs. Ces personnes pourraient apparemment transférer ou extraire des informations sans être prises. Pas de journaux appropriés. Meta nie tout, bien sûr.

« Malheureusement, c'est un scénario familier dans lequel un ancien employé est renvoyé pour mauvaise performance et ensuite fait des déclarations déformées en public », a rétorqué un porte-parole de Meta. « La sécurité est un domaine d'adversité, et nous sommes fiers de nous appuyer sur notre solide bilan en matière de protection de la vie privée des personnes. »

Baig s'est associé au groupe de lanceurs d'alerte Psst.org et au cabinet d'avocats Schonbrun, Seplow, Harris, Hoffman & Zeldes. Le procès ne dit pas exactement que les données des utilisateurs ont été volées. Il semble que Baig ait principalement averti ses supérieurs que les faiblesses de sécurité de WhatsApp créaient de grands risques de conformité.

Il a souligné certains problèmes spécifiques. Pas de centre d'opérations de sécurité fonctionnant 24 heures sur 24. Systèmes faibles pour suivre l'accès des employés aux données des utilisateurs. Et ils n'avaient même pas un inventaire complet des systèmes de stockage de données. Assez surprenant pour une plateforme aussi massive.

Se faire évincer après avoir pris la parole

Le procès le raconte comme ceci : seulement trois jours après la première divulgation de sécurité de Baig, il a commencé à recevoir des "retours de performance négatifs". Ses supérieurs avaient soudainement toutes ces critiques.

Fin d'année dernière, Baig s'est rendu à la SEC au sujet des "déficiences en matière de cybersécurité et du non-respect de l'obligation d'informer les investisseurs des risques matériels liés à la cybersécurité." Un mois plus tard, il a envoyé une autre lettre à Zuckerberg disant qu'il avait déposé la plainte auprès de la SEC et qu'il souhaitait une action immédiate sur les échecs de sécurité et la représaille.

D'ici janvier 2025, Baig a déposé une plainte auprès de l'Administration de la sécurité et de la santé au travail concernant "la représaille systémique" qu'il a subie après ses divulgations.

Puis en février, Meta l'a licencié. Ils ont cité "des performances insuffisantes" lors d'une réduction de 5 % de la main-d'œuvre. L'équipe de Baig soutient que le timing rend assez clair que cela était lié à son dénonciation.

Ses avocats déclarent qu'il a déposé un avis lundi pour transférer ses demandes liées à la SEC devant le tribunal fédéral après avoir d'abord essayé toutes les options administratives.