Rétropédalage de Whatsapp qui a finalement décidé de masquer les numéros de téléphone des utilisateurs de Google. L'expert en sécurité qui avait effectué cette découverte a donc gagné. En revanche, il n'a pas été récompensé...


au sommaire


    Alors que FacebookFacebook, maison-mère de WhatsappWhatsapp, expliquait que ce n'était ni un bugbug ni une faille, finalement l'alerte d'Athul Jayaram a porté ses fruits. Cet expert avait découvert que le moteur de recherche de GoogleGoogle indexait les numéros de téléphone liés à Whatsapp, et plus particulièrement ceux qui utilisent la fonction « Click to Chat » (Cliquer pour discuter). Au total, 300.000 numéros de téléphone se retrouvaient au milieu des résultats de recherche.

    Finalement, Whatsapp a donc décidé de faire marche arrière, et dans un message adressé à TechCrunch, le réseau social explique qu'il a donc décidé d'exclure les liens comprenant les numéros de téléphone de l'indexation de Google. C'est très simple à mettre en place, et il suffit d'indiquer aux robots de Google les domaines qui doivent être exclus de l'indexation.

    Pas de récompense pour cette découverte...

    Ce mardi, on a donc testé si c'était vrai, et effectivement les requêtes sur le domaine site://www.wa.me ne renvoient désormais aucun résultat. Impossible donc de trouver des numéros de téléphone liés à Whatsapp dans Google, et l'on a essayé avec plusieurs indicatifs différents. C'est donc une victoire pour ce chercheur indien mais... il n'obtiendra pas de récompense pour cette découverte.

    « Bien que nous appréciions le rapport de ce chercheur et appréciions le temps qu'il a pris pour le partager avec nous, il n'était pas admissible à une récompense car cela concernait simplement un index d'URL de moteur de recherche que les utilisateurs de WhatsApp avaient choisi de rendre public », explique Whatsapp dans son communiqué. Dommage pour lui. Rappelons qu'il y a une semaine, un autre expert en sécurité avait touché 100.000 dollars de la part d'AppleApple pour avoir découvert une faille dans iOS...


    Whatsapp : attention, Google indexe les numéros de téléphone !

    La fonction Click To Chat (Cliquer pour discuter) de Whatsapp est indexée par les robots de Google, et plus de 300.000 numéros de téléphone se retrouvent déjà dans le moteur de recherche, accessibles au plus grand nombre. Alerté par un expert en sécurité, Facebook, éditeur de Whatsapp, assure qu'il ne s'agit ni d'une faille, ni d'un bug.

    Publié le 09/06/20 par Fabrice Auclert

    Il y a quatre mois, on découvrait que des discussions privées effectuées sur Whatsapp se retrouvaient dans les moteurs de recherche de Google et Bing. Une énorme faille puisque ces discussions étaient en libre accès, et un esprit malveillant pouvait ainsi récupérer des coordonnées téléphoniques, notamment de personnalités.

    Cette semaine, Athul Jayaram, un traqueur de vulnérabilités, a découvert une autre faille liée à la vie privée puisque Google indexe les numéros de téléphone liés à Whatsapp. Potentiellement, ce sont des millions de numéros de téléphone qui pourraient se retrouver ainsi dans le moteur de recherche et c'est lié à la fonction « Click to Chat » (Cliquer pour discuter) qui permet de lancer une discussion directement depuis une page web. Il s'agit d'une sorte de widget que l'on peut insérer sur son site Internet pour être contacté directement. On scanne un QR Code ou on clique sur un lien, et on est mis en relation avec la personne sans composer de numéro.

    La fonction <em>Click To Chat</em> permet de lancer une discussion directement depuis un site web. Idéal pour une hot line par exemple. © Whatsapp
    La fonction Click To Chat permet de lancer une discussion directement depuis un site web. Idéal pour une hot line par exemple. © Whatsapp

    Déjà 300.000 numéros de téléphone indexés par Google

    Le problème est que, dans le lien utilisé pour lancer la conversation, on trouve le numéro de téléphone de la personne appelée. Le lien prend ainsi la forme suivante : https://wa.me/06xxxxxxxx, et Google indexe la page et donc le numéro. « Votre numéro de mobilemobile est visible en texte brut dans cette URL, et toute personne qui obtient l'URL peut connaître votre numéro de mobile », a expliqué cet expert en sécurité à nos confrères de Threatpost.

    Pour justifier ses dires, ce chercheur a ainsi lancé une requête dans Google, en demandant à afficher toutes les pages du domaine wa.me, et il a découvert que 300.000 numéros de téléphone en provenance de Whatsapp étaient déjà indexés. Un pirate peut ainsi facilement les récupérer et s'en servir pour spammer les personnes, ou bien les revendre à des sociétés de marketing.

    Même si le numéro de téléphone ne s'accompagne pas des coordonnées personnelles de l'utilisateur, cela reste une donnée privée et d'ailleurs, l'expert a pu aussi accéder aux photos de profil des utilisateurs. Grâce à la recherche inversée dans Google Images, qui permet de récupérer des photos similaires, un pirate pourrait parvenir à identifier des personnes via leurs éventuels comptes sur les réseaux sociauxréseaux sociaux (Facebook, TwitterTwitter, Copains d'avant, etc.)

    Une simple requête dans Google permet de trouver des numéros de téléphone, et il suffit de changer l'indicatif pour effectuer une recherche par pays. © Athul Jayaram
    Une simple requête dans Google permet de trouver des numéros de téléphone, et il suffit de changer l'indicatif pour effectuer une recherche par pays. © Athul Jayaram

    Pour Facebook, les utilisateurs sont consentants

    Qu'en pense Facebook, éditeur de Whatsapp ? Eh bien, de son côté, il ne s'agit ni d'un bug, ni d'une faille ! Facebook répond ainsi que les utilisateurs ont la possibilité de ne pas afficher leur numéro de téléphone, et que l'affichage de ce numéro est justement lié à la fonction « Click to Chat ». Par ailleurs, il est possible de bloquer les appels indésirables en cas d'abus.

    Ce à quoi le chercheur rétorque que les utilisateurs ne sont pas forcément au courant que Google indexe ces numéros et qu'ils sont très simples à retrouver. De plus, des numéros de téléphone sont aujourd'hui liés à des comptes bancaires, des abonnements en ligne ou des comptes de réseaux sociaux, et ils peuvent être utilisés pour pirater des données personnelles. Il demande ainsi à Whatsapp et Google de crypter le numéro, au moins dans les résultats.