Un chercheur en cybersécurité, Athul Jayaram, a révélé le 6 juin que des milliers de numéros de téléphone de particuliers se sont retrouvés indexés sur Google. Ces numéros appartiennent à des utilisateurs de la fonction « Cliquer pour discuter » de WhatsApp, et ont été retirés depuis. Ce n’est pas la première fois que la messagerie aux deux milliards d’utilisateurs est touchée par une faille de sécurité.

Des numéros français ont pu être concernés

En recherchant « site :wa.me » sur Google, Athul Jayaram a découvert 29 000 résultats Google, visiblement tous des numéros d’utilisateurs WhatsApp. Sur son blog le chercheur indien affirme que les numéros semblent venir de presque tous les pays où existe WhatsApp. Il précise que le chiffre fluctuait au gré des mises à jour d’indexation de Google.

Il est possible de filtrer les résultats avec l’indicatif du pays, ici le Royaume-Uni. Crédit : Athul Jayaram

Ces numéros seraient ceux des adeptes de l’option WhatsApp « Cliquer pour discuter ». Elle permet aux utilisateurs de la messagerie de créer une conversation avec un autre sans l’avoir enregistré au préalable dans son carnet d’adresses. Pour cela il suffit de générer son propre lien sous la forme https://wa.me/<numérodetéléphone>.

C’est ici que surgit le problème : le lien se retrouve indexé publiquement par Google. Normalement les administrateurs web ont la possibilité de demander aux moteurs de recherches de ne pas indexer certains liens, c’est cette étape qui aurait été oubliée par WhatsApp. Des individus malintentionnés pourraient utiliser les numéros pour faire une recherche inversée sur les profils ou utiliser les numéros de téléphone de façon malveillante. Plutôt gênant pour une messagerie qui se veut chiffrée.

WhatsApp : circulez, il n’y a rien à voir

WhatsApp n’ignorait pas le problème qui lui avait déjà été signalé en février par un site web spécialisé, WeBetaInfo. Le problème n’aurait pas été considéré comme prioritaire. WhatsApp a réagi en niant l’existence d’une faille, expliquant que les utilisateurs étaient consentants, « Bien que nous apprécions le rapport de ce chercheur et le temps qu’il a pris pour le partager avec nous, il n’a pas bénéficié d’une prime, car il contenait simplement un index des URL que les utilisateurs de WhatsApp ont choisi de rendre public. Tous les utilisateurs de WhatsApp, y compris les entreprises, peuvent bloquer les messages indésirables en appuyant sur un bouton ».

Athul Jayaram a pris la peine de contacter certains des numéros trouvés avec sa recherche Google. D’après les impressions d’écran publiées par le chercheur ceux qu’il a contactés ignoraient que leur numéro était disponible sur internet. D’un côté WhatsApp, dans ses déclarations, a minimisé l’ampleur de la fuite, de l’autre la messagerie s’est empressée de supprimer les numéros de téléphone le 9 juin. Désormais la recherche « site :wa.me » ne donne plus aucun résultat.