Un chercheur a découvert que les numéros de téléphone liés aux comptes WhatsApp sont indexés publiquement sur la recherche Google, créant ce qu’il prétend être un «problème de confidentialité» pour les utilisateurs. WhatsApp, une application de messagerie instantanée qui a gagné rapidement en popularité pour être présente sur un maximum de terminaux, est devenu un véritable centre de communications et figure parmi les applications les plus prisées par les utilisateurs.
Cependant la fonctionnalité WhatsApp appelée «cliquer pour discuter / discussion» met en danger les numéros de téléphone mobile des utilisateurs, en permettant à la recherche Google de les réexaminer pour que quiconque puisse les trouver. Mais le propriétaire de WhatsApp dit que ce n’est pas grave et que les résultats de la recherche ne révèlent que ce que les utilisateurs ont choisi de rendre public de toute façon.
Le chasseur de bogues ATHUL JAYARAM, qui a découvert le problème, appelle les numéros de téléphone «divulgués» et caractérise la situation comme un bogue de sécurité qui met en danger la confidentialité des utilisateurs de WhatsApp. Comment un utilisateur peut vouloir fonctionner en privé alors que ses données sont divulguées à son insu sur un grand moteur comme Google ? N’est-ce pas un abus ?
En réalité, cette fonctionnalité offre aux sites web un moyen facile de lancer une session de discussion WhatsApp avec les visiteurs du site web. Il fonctionne en associant une image de code quick response (QR) (créée via des services tiers) au numéro de téléphone mobile WhatsApp du propriétaire du site. Cela permet à un visiteur de scanner le code QR du site ou de cliquer sur une url pour lancer une session de conversation WhatsApp, sans que le visiteur ait à composer le numéro lui-même. Très surprenant ? Mais possible, un individu lambda pourrait vous contacter sans que vous ne lui donniez votre numéro de téléphone volontairement, mais juste à cause de votre passage sur leur site. Les numéros de téléphone sont révélés dans le cadre d’une chaîne d’url (https://wa.me/ <phone_number>). En effet, le domaine «wa.me» est détenu et géré par WhatsApp, selon les enregistrements whois.
« Votre numéro de mobile est visible en texte brut dans cette url, et toute personne qui obtient l’url peut connaître votre numéro de mobile. Vous ne pouvez pas le révoquer », a déclaré JAYARAM.
La fonctionnalité « discussion » présente un problème de sécurité important qui pourrait conduire à des abus et des fraudes. Lorsque des numéros de téléphone individuels sont divulgués, un attaquant peut leur envoyer un message, les appeler, vendre leurs numéros de téléphone à des commerçants, des spammeurs, des escrocs etc…
En fait, WhatsApp identifie ses utilisateurs par numéros de téléphone whatsapp contrairement aux autres applications. Cependant, le chercheur a déclaré qu’il pouvait également voir les photos de profil des utilisateurs sur WhatsApp avec leurs numéros de téléphone, simplement en cliquant sur les url des numéros de téléphone de la recherche Google, ce qui l’a amené à leurs profils WhatsApp. Ensuite, un pirate déterminé pourrait inverser la recherche d’image dans la photo de profil de l’utilisateur dans l’espoir de collecter suffisamment d’indices pour établir l’identité de l’utilisateur. Grâce au profil WhatsApp, ils peuvent voir la photo de profil de l’utilisateur et effectuer une recherche d’image inversée pour trouver leurs autres comptes de médias sociaux et en savoir beaucoup plus sur (la personne ciblée) et en poursuivant le processus il pourra jumeler un numéro de téléphone avec le nom idoine et cette adresse pourrait être un puissant point de départ pour un voleur d’identité. En effet, plusieurs utilisateurs utilisent la même photo de profil sur d’autres comptes de médias sociaux, les profils d’utilisateurs peuvent également être facilement découverts.
Pour sa part, WhatsApp décrit cette fonctionnalité comme un avantage pratique, permettant aux utilisateurs de commencer une conversation avec quelqu’un sans avoir enregistré leur numéro de téléphone dans le carnet d’adresses de leur téléphone. Est-ce donc le souhait de la plupart des utilisateurs ?
Le chercheur soutient que de nombreux utilisateurs de WhatsApp ne savent même pas que leurs numéros de téléphone sont stockés en texte brut, indexés par la recherche Google et détectables via une requête de recherche relativement simple. Il est important de souligner qu’ils ne savent pas que leurs numéros sont à la portée d’un grand public qu’il ignore. Cependant il faut noter que rien ne justifient les raisons pour lesquelles ces données sont à la portée de tous, car il est judicieux de toujours faire connaitre aux utilisateurs jusqu’où le producteur expose ce qui leur est privée. C’est dans leur droit car ce n’est pas tous les utilisateurs de WhatsApp qui aimeront laisser leurs emprunts sur Google en rendant leur numéro de téléphone public : c’est une sorte d’abus de données pour ces utilisateurs qui se demandent à la longue à quoi sert la fonctionnalité « confidentialité» de WhatsApp.