Un chercheur en informatique a découvert un bug qui permet aux moteurs de recherche d'indexer les numéros de téléphone des personnes
En février dernier, le site Motherboard a découvert que de nombreux groupes créés sur WhatsApp étaient indexés par le moteur de recherche de Google et étaient accessibles par n'importe quelle personne. Les ingénieurs de WhatsApp ont pris des mesures immédiates et le problème a été résolu en quelques jours. Quelques mois plus tard, un nouveau problème de confidentialité frappe l'application de messagerie : l'informaticien Athul Jayaram a découvert que plus de 300 000 numéros de téléphone d'utilisateurs sont présents sur Google à cause de WhatsApp.
Quelle est la raison de la présence des numéros de téléphone des utilisateurs sur WhatsApp ? La fonction Click to Chat, un outil utilisé par les sites web pour faciliter l'interaction entre l'entreprise et l'utilisateur sur WhatsApp. En cliquant simplement sur un bouton ou en scannant un code QR, une conversation peut être lancée sur WhatsApp sans qu'il soit nécessaire d'enregistrer le contact dans le carnet d'adresses du smartphone. Malheureusement, les métadonnées de la fonction Click to Chat sont indexées par les moteurs de recherche, et parmi ces informations se trouve également le numéro de téléphone.
WhatsApp, 300 000 numéros de téléphone présents sur Google
Selon l'analyse faite par le chercheur en informatique, il y a plus de 300 000 numéros de téléphone d'utilisateurs présents sur Google à cause de WhatsApp. La faute, comme indiqué ci-dessus, incombe à la fonction "Click to Chat" et à l'URL créée pour entrer en contact avec l'entreprise. Peu de gens le savent, mais il est possible d'écrire à un utilisateur sur l'application de messagerie même sans connaître son numéro de téléphone : il suffit de saisir l'URL suivante "https://wa.me/numeroditelefono" dans l'onglet d'un navigateur.
Cette URL est toutefois indexée par Google, qui l'insère dans les résultats de recherche. Lors de tests, l'informaticien a trouvé plus de 300 000 numéros de téléphone. C'est un problème grave, notamment pour la vie privée et la sécurité des utilisateurs : les contacts téléphoniques peuvent être utilisés par des fraudeurs pour des campagnes de phishing et des spams.
WhatsApp, grave problème pour la sécurité des utilisateurs
Le problème n'est pas seulement que les attaquants peuvent utiliser le numéro de téléphone pour des campagnes de spams, mais aussi pour retrouver l'identité réelle de la personne. Comment ? Par une recherche inversée. En cliquant sur l'URL dans le moteur de recherche, vous pouvez voir la photo de profil de la personne, l'enregistrer sur votre appareil et utiliser un outil de recherche d'image inversée pour découvrir son identité. Une véritable atteinte à la vie privée d'une personne.
WhatsApp, problème résolu ?
Le chercheur en informatique a envoyé le rapport à Facebook le 23 mai pour participer au "bug-bounty programme", le programme qui prévoit une récompense monétaire pour toute personne qui découvre des bugs dans la plateforme de Menlo Park. La réponse de Facebook ne s'est pas fait attendre : pas de récompense, puisque le programme ne s'applique qu'au réseau social. Une réponse négative également de la part des développeurs de WhatsApp : c'est un problème connu depuis longtemps et qui ne sera pas résolu pour l'instant.