Si vous utilisez la fonctionnalité « Cliquer pour discuter » de WhatsApp, vous pourriez avoir la désagréable surprise de retrouver votre numéro de téléphone personnel exposés à n’importe qui, depuis les résultats de recherche publics de Google. Une menace pour votre vie privée qu’a récemment découverte par Athul Jayaram, ingénieur en sécurité informatique.
Il faut préciser que « Cliquer pour discuter » reste une option plutôt discrète de WhatsApp, qui permet surtout aux visiteurs d'un site web de converser avec le service clients d’un site par le biais de l’application de messagerie. Par exemple, si vous souhaitez effectuer un achat sur une boutique en ligne mais que vous avez quelques questions préalables, il vous est possible de contacter l’assistance du site sur WhatsApp, par le biais d’un bouton ou d’un code-barres « Cliquer pour discuter ».
- WhatsApp : une nouvelle arnaque par SMS
- Attention à WhatsApp Gold et ses fausses fonctionnalités bonus
- Voici les meilleures applications de messagerie vidéo gratuites
M. Jayaram a observé que l'utilisation de cette fonctionnalité pouvait faire apparaître le numéro de téléphone employé dans les résultats de recherche de Google. Ouvrant dès lors la porte à toutes sortes de cyberattaques et d’arnaques en ligne.
Pas assez d’éléments probants selon WhatsApp et Facebook
La plateforme de messagerie WhatsApp est réputée pour ses normes élevées de confidentialité, offrant un cryptage de bout en bout à tous ses membres. Cependant, cette dernière découverte suggère que les données personnelles échangées sur WhatsApp ne sont peut-être pas aussi privées que les utilisateurs aimeraient le croire.
Les numéros de téléphone concernées sont exposés sur le nom de domaine wa.me, propriété de WhatsApp, qui stocke les métadonnées de « Cliquer pour discuter » dans une chaîne d'URL empruntant la forme : https://wa.me/<WhatsApp number>. Comme aucune clé de cryptage n'a été mise en place pour empêcher les moteurs de recherche d'indexer ces métadonnées, les numéros de téléphone tombent aisément dans les résultats de recherche publics.
« Votre numéro de téléphone portable est visible en clair depuis une URL généraliste. Toute personne qui met la main sur celle-ci peut connaître votre numéro de téléphone portable. Vous n’avez aucune possibilité de le révoquer », a expliqué M. Jayaram. « Lorsque des numéros de téléphone individuels sont divulgués, un agresseur peut utiliser ledit numéro ou le vendre à des sociétés marketing, des spammeurs et des escrocs ».
En parcourant le domaine wa.me, Jayaram aurait découvert 300 000 numéros WhatsApp indexés. En cliquant sur chaque numéro, il a pu accéder au nom complet de l'utilisateur, mais aussi à sa photo de profil WhatsApp. Depuis cette découverte - remontant au 23 mai dernier -, notre expert a signalé l’anomalie à l’équipe technique de Facebook, maison-mère de WhatsApp. Son avertissement a cependant été rejeté au motif que les utilisateurs de WhatsApp ont un contrôle total sur la publication des informations jointes à leur profil.
« Bien que nous apprécions l’analyse partagée par ce chercheur et que nous lui sommes reconnaissants de la somme de temps consacrée pour l’établir, celle-ci ne remplit pas les conditions nécessaires pour être prise en charge par nos équipes. Elle contient simplement un index de métadonnées que les utilisateurs de WhatsApp ont choisi de rendre publiques, ce qui n’est pas suffisant », a déclaré un porte-parole de WhatsApp. Avant d’ajouter : « Tous les utilisateurs de WhatsApp, y compris les entreprises, peuvent bloquer les messages indésirables en appuyant sur un bouton dédié à cet usage ».
Jayaram, de son côté, estime que la firme de Mark Zuckerberg devrait prendre cette menace plus au sérieux, en raison de l'ampleur des attaques qu’elle pourrait faciliter.
« Aujourd'hui, votre numéro de téléphone portable est lié à vos portefeuilles Bitcoin, Adhaar, vos comptes bancaires, vos cartes de crédit... Obtenir cette information permettrait à un hacker de procéder à des attaques par clonage de carte SIM », conclut-il désespérément.
Via Threatpost
