Les utilisateurs de la fonction Cliquer pour discuter de WhatsApp risquent de trouver leurs numéros de téléphone en clair dans les recherches Google. Mais pour WhatsApp, ce n’est pas un défaut de sécurité.
Un chercheur en sécurité a découvert que les numéros de téléphone des utilisateurs qui utilisent la fonctionnalité Cliquer pour discuter de WhatsApp sont affichés en clair dans les résultats de Google.
Cliquer pour discuter est une fonction WhatsApp qui permet aux visiteurs d’un site Web de démarrer une conversation avec les opérateurs de ce site via le service de messagerie. La fonction est largement utilisée par le commerce électronique, qui fournit ainsi un service d’assistance directe à ses clients.
Cependant, selon le chercheur Athul Jayaram, l’utilisation de cette fonctionnalité peut exposer le numéro de téléphone d’un utilisateur dans les résultats de recherche publics, ouvrant la porte à divers types d’escroqueries et de cyberattaques. Ce sont des nouvelles qui ne feront pas plaisir aux utilisateurs, étant donné que WhatsApp est depuis quelque temps un rempart de sécurité grâce au cryptage de bout en bout appliqué aux conversations individuelles.
En pratique, les numéros de téléphone des utilisateurs sont exposés par le domaine « wa.me » appartenant à WhatsApp, qui stocke les métadonnées de Cliquer pour discuter dans une chaîne URL (par exemple https://wa.me/ <numéro WhatsApp>) . Puisqu’il n’existe aucune mesure pour empêcher les moteurs de recherche d’indexer ces métadonnées, les chiffres sont en fait disponibles dans les résultats de recherche publics :
« Votre numéro de mobile est clairement visible dans cette URL et toute personne en possession de l’URL peut connaître votre numéro de mobile. Vous ne pouvez pas le supprimer. Étant donné que des numéros de téléphone individuels sont disponibles en clair, un attaquant peut envoyer des messages, appeler ou vendre ces numéros à des spécialistes du marketing, des spammeurs et des escrocs. »
Jayaram a découvert 300 000 numéros WhatsApp rendus publics grâce à ce mécanisme. En cliquant sur la page Web, le nom complet de l’utilisateur n’est pas découvert, mais son image de profil WhatsApp peut être découverte.
Le chercheur a signalé le problème à Facebook via le programme officiel de prime aux bugs. De son côté, la société a expliqué qu’il ne s’agissait pas d’une faille de sécurité et que les utilisateurs de WhatsApp avaient le plein contrôle de leurs informations de profil rendues publiques sur le Web :
« Bien que nous apprécions le rapport de ce chercheur et apprécions le temps qu’il nous faut pour le partager avec nous, il n’est pas qualifié pour un prix car il contenait simplement un index de moteur de recherche des URL que les utilisateurs de WhatsApp ont choisi de rendre publiques. Tous les utilisateurs de WhatsApp, y compris les entreprises, peuvent bloquer les messages indésirables en appuyant simplement sur un bouton. »
Jayaram estime cependant que Facebook devrait prendre cette divulgation plus au sérieux, en raison de l’ampleur des attaques que le problème pourrait certainement faciliter.
