Des numéros WhatsApp affichés dans les résultats de Google

Un chercheur avertit qu’une fonctionnalité WhatsApp appelée «Click to Chat» met en danger les numéros de téléphone mobile des utilisateurs, en permettant au moteur de recherche Google de les indexer. Mais le propriétaire de WhatsApp, Facebook, affirme que ce n’est pas grave et que les résultats de la recherche ne révèlent que ce que les utilisateurs ont choisi de rendre public de toute façon.

Athul Jayaram, chasseur de bugs, qui a découvert le problème, affirme que les numéros de téléphone ont «fuités» et caractérise la situation comme un bug de sécurité qui met en danger la confidentialité des utilisateurs de WhatsApp.

Click to Chat offre aux sites Web un moyen facile de lancer une session de discussion WhatsApp avec les visiteurs du site Web. Il fonctionne en associant une image de code Quick Response (QR) (créée via des services tiers) au numéro de téléphone mobile WhatsApp du propriétaire du site. Cela permet à un visiteur de scanner le code QR du site ou de cliquer sur une URL pour lancer une session de chat WhatsApp sans que le visiteur ait à composer le numéro lui-même. Ce visiteur a cependant toujours accès au numéro de téléphone une fois l’appel lancé.

Le problème, a déclaré Jayaram, est que ces numéros mobiles peuvent également apparaître dans les résultats de recherche Google, car les moteurs de recherche indexent les métadonnées Click to Chat. Les numéros de téléphone sont révélés dans le cadre d’une chaîne d’URL (https://wa.me/<phone_number>) et donc, cela fait “fuir” en fait les numéros de téléphone mobile des utilisateurs de WhatsApp en texte clair, selon l’avis du chercheur.

Le domaine «wa.me» est détenu et géré par WhatsApp, selon les enregistrements WHOIS.

“Votre numéro de mobile est visible en texte brut dans cette URL, et toute personne qui obtient l’URL peut connaître votre numéro de mobile. Vous ne pouvez pas le révoquer », a déclaré Jayaram, dans une recherche partagée.

Il affirme qu’il est plus facile pour les spammeurs de compiler des numéros de téléphone légitimes pour monter des campagnes. En utilisant une chaîne de recherche spécialement conçue du domaine https://wa.me/, le chercheur a déclaré avoir découvert que Google indexait 300 000 numéros de téléphone WhatsApp.

Jayaram explique qu’à cause de cela, Click to Chat présente un problème de sécurité important qui pourrait conduire à des abus et des fraudes.

«Lorsque des numéros de téléphone individuels sont divulgués, un pirate peut leur envoyer un message, les appeler, vendre leurs numéros de téléphone à des commerçants, des spammeurs, des escrocs», a-t-il déclaré.

Parce que WhatsApp identifie les utilisateurs par numéros de téléphone (par opposition aux noms d’utilisateur ou identifiants de messagerie), Google Search n’a révélé que les numéros de téléphone et non l’identité des utilisateurs auxquels ils étaient connectés, a expliqué Jayaram. Cependant, le chercheur a déclaré qu’il pouvait également voir les photos de profil des utilisateurs sur WhatsApp avec leurs numéros de téléphone, simplement en cliquant sur les URL des numéros de téléphone de la recherche Google, ce qui l’a amené sur leurs profils WhatsApp. Ensuite, un pirate déterminé pourrait faire une recherche d’image inversée de la photo de profil de l’utilisateur dans l’espoir de collecter suffisamment d’indices pour établir l’identité de l’utilisateur.

Jumeler un numéro de téléphone avec un nom et une adresse pourrait être un puissant point de départ pour un voleur d’identité, selon Jayaram. «La plupart des utilisateurs utilisent la même photo de profil sur d’autres comptes de médias sociaux, les profils d’utilisateurs peuvent également être facilement découverts», a-t-il déclaré.

Pour sa part, WhatsApp décrit Click to Chat comme un avantage pratique, permettant aux utilisateurs de commencer une conversation avec quelqu’un sans avoir leur numéro de téléphone enregistré dans le carnet d’adresses de leur téléphone.

whatsapp numéro téléphone

“Notre fonctionnalité Click to Chat, qui permet aux utilisateurs de créer une URL avec leur numéro de téléphone afin que tout le monde puisse facilement leur envoyer un message, est largement utilisée par les petites et micro-entreprises du monde entier pour se connecter avec leurs clients”, a déclaré un porte-parole de WhatsApp.

Dans un Tweet, Jayaram a déclaré qu’un “correctif” pour le domaine http://wa.me a été distribué et que les numéros de téléphone ne sont plus consultables.

Fonctionnalité ou bug de WhatsApp

Le chercheur soutient que de nombreux utilisateurs de Click to Chat ne savent pas que leurs numéros de téléphone sont stockés en texte brut, indexés par le moteur de recherche Google et détectables via une requête de recherche relativement simple.

Les utilisateurs qui ont été contactés ont exprimé leur inquiétude concernant le fait que leurs numéros de téléphone étaient disponibles en ligne et indexés par Google.

whatsapp

D’autres utilisateurs de WhatsApp dont les numéros ont été indexés par Google savaient que leur numéro était public et l’ont fait de cette façon pour promouvoir leur entreprise ou leur contact personnel en ligne.

«Mon numéro de téléphone est public sur le Web. Pas besoin d’impliquer WhatsApp », a déclaré un utilisateur, expliquant que Click to Chat était pratique et facilitait la tâche des visiteurs de son site. «Je l’ai fait pour que les gens puissent me contacter facilement. Étonnamment, je reçois très peu d’appels frauduleux », a-t-il déclaré.

Cependant, d’autres ignoraient que leur numéro de téléphone était public.

“Non, je ne voulais pas du tout rendre mon numéro public”, a déclaré un utilisateur. “J’ai configuré WhatsApp pour mon entreprise afin que les gens puissent envoyer des SMS directement sans avoir mon numéro.”

Rejeté par le programme bug bounty

Après avoir découvert le problème le 23 mai, Jayaram a déclaré avoir contacté le propriétaire de WhatsApp (Facebook) à propos du problème via son programme de bug-bounty. Cependant, Facebook lui a répondu en disant que l’abus de données n’est couvert que pour les plateformes Facebook, et non pour WhatsApp. Un porte-parole de WhatsApp a quant à lui déclaré que WhatsApp faisait partie du programme de primes pour abus de données.

“Bien que nous apprécions le rapport de ce chercheur et apprécions le temps qu’il a pris pour le partager avec nous, il n’était pas admissible à une prime car il contenait simplement un index des URL de moteur de recherche que les utilisateurs de WhatsApp ont choisi de rendre public. Tous les utilisateurs de WhatsApp, y compris les entreprises, peuvent bloquer les messages indésirables en appuyant simplement sur un bouton », a-t-il déclaré.

Vieux problème, nouvelles plaintes

Les index de recherche Google ont également été au cœur d’un problème de WhatsApp découvert plus tôt cette année, après qu’un journaliste de DW News ait découvert que les liens d’invitation pour les groupes WhatsApp étaient indexés par le moteur de recherche de Google. Cela signifiait que si des liens vers des groupes privés existaient n’importe où sur Internet, n’importe qui pouvait potentiellement les trouver et rejoindre un groupe WhatsApp avec une recherche rapide sur Google. Des centaines de milliers de groupes étaient ainsi potentiellement accessibles.

À l’époque, Danny Sullivan, agent de liaison publique pour la recherche Google, a déclaré sur Twitter que la situation n’est “pas différente de tout cas où un site autorise la liste publique des URL”, mais a déclaré que Google propose des outils permettant aux sites de bloquer le contenu étant répertoriés.

Un porte-parole de Google a déclaré qu’en ce qui concerne la recherche Google, ce que Sullivan a dit reste vrai. Selon Google, ils indexent les pages qui sont disponibles sur le Web. Google ne peut pas supprimer les URL sur le Web (seuls les webmasters peuvent le faire). Par conséquent, même si un élément est supprimé des résultats de Google, il peut toujours apparaître dans les résultats d’autres moteurs de recherche.

Jayaram a recommandé que WhatsApp chiffre les numéros mobiles des utilisateurs et ajoute un fichier robots.txt pour empêcher les robots d’explorer leur domaine.

“Malheureusement, ils ne l’ont pas encore fait, et votre vie privée peut être en jeu”, a-t-il déclaré. “Aujourd’hui, votre numéro de téléphone mobile est lié à vos portefeuilles Bitcoin, Adhaar, comptes bancaires, UPI, cartes de crédit … [permettant] à un attaquant d’effectuer des échanges de cartes SIM et des attaques de clonage.”

Si cet article vous a plu, jetez un œil à notre article précédent.