WhatsApp_cropped_0x0

Athul Jayaram, un chercheur en cybersécurité, a récemment indiqué que plusieurs dizaines de milliers de numéros de téléphone étaient référencées sur Google. Le problème découle d’une fonctionnalité WhatsApp liée au partage simplifié.

En février dernier déjà, le même type de faille de sécurité était recensé par le site WABetaInfo. Une nouvelle petite polémique pour WhatsApp, qui se targue toujours d’offrir un chiffrement de bout en bout de vos échanges avec vos interlocuteurs.

Une fonction de partage en cause

« Cliquer pour discuter » est une fonctionnalité bien pratique. Elle permet à l’utilisateur de partager son numéro de téléphone avec un autre, directement par la messagerie avec lien simplifié (wa.me/<Numéro>). Toutefois, son URL n’est pas cryptée. Les moteurs de recherche, et particulièrement Google, n’avaient aucune contrainte pour les indexer.

Il ne s’agit pas d’un problème de niche. Au total, on estime que 300 000 numéros de téléphone se sont retrouvés dans les résultats de recherche de Google. Ainsi, des milliers d’utilisateurs européens, asiatiques ou encore américains ont été touchés.

Rappelons que le numéro était la seule information personnelle à avoir été divulguée. Cependant, à partir de cette dernière, il est possible de trouver la photo de profil. À partir de là, chacun peut, par exemple, se lancer dans des recherches inversées pour dénicher des informations supplémentaires.

Cette fonctionnalité est principalement utilisée par les entreprises afin d’aider leurs clients à prendre contact avec elles par un simple clic sur WhatsApp. Pour rechercher un numéro de téléphone, il suffisait d’effectuer une recherche Google avec les mots-clés suivants : « site:wa.me ». Il en résultait plusieurs numéros de téléphone.

Le problème a été corrigé

Athul Jayaram a immédiatement contacté Facebook, afin de signaler le problème. Depuis, l’entreprise a fait machine arrière. Selon le chercheur, les liens WhatsApp comprenant des numéros de téléphone sont désormais exclus de l’indexation de Google. Une procédure manuelle relativement simple, utilisant le robot.txt.

D’après Facebook, le problème était déjà réglé. Les numéros de téléphone trouvés par Jayaram seraient d’anciens résultats mis en cache par le moteur de recherche. Ceux-ci disparaissent au fur et à mesure que le moteur de recherche réindexe le contenu des sites et trouve la balise « no-index ».

En conséquence, Athul Jayaram ne touchera aucune prime pour avoir sa découverte. Comme le rapporte le site TechCrunch, Facebook se dit « reconnaissant » envers le chercheur. Toutefois, le réseau social indique que « cette découverte ne pourra donner lieu à une récompense dans la mesure où il ne s’agit que d’une liste d’URL d’un moteur de recherche que les utilisateurs de WhatsApp ont choisi de rendre publiques ».