Internet

une faille exposait des milliers de numéros de téléphone sur Google

L’application de messagerie aux plus de deux milliards d’utilisateurs vient de remédier à une vulnérabilité, qui conduisait à l’indexation sur Google de près de 30.000 numéros personnels de ses utilisateurs.

L’application de messagerie WhatsApp a en temps normal un credo: la confidentialité des échanges qu’elle héberge, garantie par le chiffrement de bout en bout. Le service mobile a néanmoins pâti d’une faille importante, révélée le 6 juin par un chercheur en sécurité. Près de 30.000 numéros de téléphone de ses utilisateurs se sont retrouvés indexés sur Google.

En cause, un dysfonctionnement de l’outil « Cliquer pour discuter », qui génère un lien d’invitation pour rejoindre une conversation. Cette fonctionnalité est particulièrement prisée par les petites entreprises. Ce même lien, lorsqu’il était partagé en ligne, était néanmoins dépourvu de chiffrement. Le numéro de téléphone y étant associé était dès lors exposé en clair. De quoi laisser aux algorithmes de Google la possibilité de l’indexer dans son moteur de recherche.

Dans ces circonstances, entrer sur Google la simple mention « site:wa:me » suivie de l’indicatif du pays revenait à retrouver les numéros de téléphone d’utilisateurs de WhatsApp, dans la région recherchée.

Une simple recherche Google pouvait renvoyer à des numéros WhatsApp.
Une simple recherche Google pouvait renvoyer à des numéros WhatsApp. © Athul Jayaram

Un passif avec les conversations de groupe

Impossible désormais de savoir si son propre numéro de téléphone a figuré, ou non, dans la liste de ceux exposés en ligne. La recherche de numéros de téléphone WhatsApp sur Google – par le biais de la requête « site:wa.me »- ne donne plus aucun résultat depuis que l’application a remédié à la faille en question.

Par le passé, WhatsApp avait déjà été épinglée pour l’indexation de certains de ses contenus sur Google. En l’occurrence, et en février dernier, des conversations de groupe avaient été exposées. La teneur des informations accessibles comportait aussi bien le contenu des conversations que les numéros de téléphone de l’ensemble de leurs participants. Ce cas de figure se limitait strictement aux conversations pour lesquelles un lien d’invitation avait été partagé en ligne. WhatsApp avait, là aussi, rectifié le tir, pour que les conversations soient à nouveau protégées.


Source link