[ad_1]
La fonction Click To Chat (Cliquer pour discuter) de Whatsapp est indexée par les robots de Google, et plus de 300.000 numéros de téléphone se retrouvent déjà dans le moteur de recherche, accessibles au plus grand nombre. Alerté par un expert en sécurité, Facebook, éditeur de Whatsapp, assure qu’il ne s’agit ni d’une faille, ni d’un bug.
Il y a quatre mois, on découvrait que des discussions privées effectuées sur Whatsapp se retrouvaient dans les moteurs de recherche de Google et Bing. Une énorme faille puisque ces discussions étaient en libre accès, et un esprit malveillant pouvait ainsi récupérer des coordonnées téléphoniques, notamment de personnalités.
Cette semaine, Athul Jayaram, un traqueur de vulnérabilités, a découvert une autre faille liée à la vie privée puisque Google indexe les numéros de téléphone liés à Whatsapp. Potentiellement, ce sont des millions de numéros de téléphone qui pourraient se retrouver ainsi dans le moteur de recherche et c’est lié à la fonction « Click to Chat » (Cliquer pour discuter) qui permet de lancer une discussion directement depuis une page web. Il s’agit d’une sorte de widget que l’on peut insérer sur son site Internet pour être contacté directement. On scanne un QR Code ou on clique sur un lien, et on est mis en relation avec la personne sans composer de numéro.
Déjà 300.000 numéros de téléphone indexés par Google
Le problème est que, dans le lien utilisé pour lancer la conversation, on trouve le numéro de téléphone de la personne appelée. Le lien prend ainsi la forme suivante : https://wa.me/06xxxxxxxx, et Google indexe la page et donc le numéro. « Votre numéro de mobile est visible en texte brut dans cette URL, et toute personne qui obtient l’URL peut connaître votre numéro de mobile », a expliqué cet expert en sécurité à nos confrères de Threatpost.
Pour justifier ses dires, ce chercheur a ainsi lancé une requête dans Google, en demandant à afficher toutes les pages du domaine wa.me, et il a découvert que 300.000 numéros de téléphone en provenance de Whatsapp étaient déjà indexés. Un pirate peut ainsi facilement les récupérer et s’en servir pour spammer les personnes, ou bien les revendre à des sociétés de marketing.
Même si le numéro de téléphone ne s’accompagne pas des coordonnées personnelles de l’utilisateur, cela reste une donnée privée et d’ailleurs, l’expert a pu aussi accéder aux photos de profil des utilisateurs. Grâce à la recherche inversée dans Google Images, qui permet de récupérer des photos similaires, un pirate pourrait parvenir à identifier des personnes via leurs éventuels comptes sur les réseaux sociaux (Facebook, Twitter, Copains d’avant, etc.)
Pour Facebook, les utilisateurs sont consentants
Qu’en pense Facebook, éditeur de Whatsapp ? Eh bien, de son côté, il ne s’agit ni d’un bug, ni d’une faille ! Facebook répond ainsi que les utilisateurs ont la possibilité de ne pas afficher leur numéro de téléphone, et que l’affichage de ce numéro est justement lié à la fonction « Click to Chat ». Par ailleurs, il est possible de bloquer les appels indésirables en cas d’abus.
Ce à quoi le chercheur rétorque que les utilisateurs ne sont pas forcément au courant que Google indexe ces numéros et qu’ils sont très simples à retrouver. De plus, des numéros de téléphone sont aujourd’hui liés à des comptes bancaires, des abonnements en ligne ou des comptes de réseaux sociaux, et ils peuvent être utilisés pour pirater des données personnelles. Il demande ainsi à Whatsapp et Google de crypter le numéro, au moins dans les résultats.
Cela vous intéressera aussi
Intéressé par ce que vous venez de lire ?
[ad_2]
Source link
