WhatsApp est à nouveau sous les feux des projecteurs après qu’un chercheur indépendant en cybersécurité, Athul Jayaram, ait trouvé les numéros de téléphone portable de plusieurs utilisateurs de WhatsApp par une simple recherche sur Google.
La plateforme de messagerie WhatsApp est réputée pour ses normes élevées de confidentialité des données, offrant un chiffrement de bout en bout à tous les utilisateurs. Cependant, cette dernière découverte suggère que les données personnelles ne sont peut-être pas aussi privées que les utilisateurs aimeraient le croire.
Le chercheur affirme avoir découvert un problème de confidentialité dans le portail Web de WhatsApp qui a fait fuir environ 300 000 numéros de téléphone d’utilisateurs de WhatsApp en texte clair, facilement accessible à tout internaute. Il note que les utilisateurs concernés par ce problème sont en grande partie originaires des États-Unis, du Royaume-Uni, de l’Inde et d’autres pays. Rassurez-vous, si vous n’avez jamais parlé à quelqu’un sur WhatsApp, à l’exception des personnes que vous connaissez personnellement, vous n’êtes probablement pas soumis à cette relative faille de sécurité sur la plateforme.
Le problème apparaît avec l’option « Cliquer pour discuter » qui propose aux sites Web de lancer une session de chat WhatsApp avec les visiteurs du site. Selon un rapport de Threatpost, les numéros de téléphone portable apparaissent dans les résultats de recherche Google, « parce que les moteurs de recherche indexent les métadonnées de Cliquer pour discuter. Les numéros de téléphone sont révélés dans le cadre d’une chaîne d’URL ».
Selon lui, il sera plus facile pour les spammeurs de compiler une base de données de ces numéros de téléphone pour monter des campagnes. « Lorsque des numéros de téléphone individuels sont divulgués, un hacker peut leur envoyer des messages, les appeler, vendre leurs numéros de téléphone à des spécialistes du marketing, des spammeurs, des escrocs », dit-il.
Facebook fait la sourde oreille
Le rapport souligne également que Jayaram a contacté le propriétaire de WhatsApp, Facebook, pour l’informer de cette problématique le 23 mai. Cependant, Facebook a déclaré que l’abus de données n’est couvert que pour les plateformes Facebook et non pour WhatsApp. Jayaram a également noté que « avec une grande base d’utilisateurs, ils devraient se soucier de ces vulnérabilités. Aujourd’hui, votre numéro de téléphone portable est lié à vos portefeuilles Bitcoin, Aadhaar, vos comptes bancaires, vos cartes de crédit, ce qui conduit un hacker à effectuer des échanges de cartes SIM, et les attaques par clonage en connaissant votre numéro de téléphone portable sont une autre possibilité ».
Pour savoir quels numéros de téléphone portable apparaissent dans la recherche Google, tapez site:wa.me suivi du <code du pays> (+33 en France) et de votre numéro de téléphone portable.
