WhatsApp : 300.000 numéros de téléphone d’utilisateurs fuitent par erreur sur Google

FAILLE DE SECURITE•La faille concerne une nouvelle fonctionnalité de WhatsApp utilisant un QR code

Google a indexé les numéros de téléphone envoyés par WhatsApp. - Andy Wong/AP/SIPA

20 Minutes avec Agence

Publié le 10/06/2020 à 16h56

Des numéros de téléphone issus de WhatsApp se sont retrouvés disponibles sur Google ces derniers jours. Le moteur de recherche a pu indexer des numéros liés à l’application, comme l’a découvert Athul Jayaram, un chercheur indien spécialisé dans la traque de failles de sécurité. Il en a rendu compte sur Medium.com le 6 juin dernier.

300.000 numéros de téléphone étaient concernés par ce problème qui est apparu au moment où WhatsApp lançait une nouvelle fonctionnalité. Celle-ci permet au moyen d’un simple QR code de partager sa fiche de contact, précise Phonandroid. Ce code envoie le destinataire sur une adresse construite à partir de l’url « http://wa.me ». C’est cette adresse, non cryptée, que le moteur de recherche a indexé et qui laissait apparaître les coordonnées en texte brut, explique le chercheur.

Possible de ne filtrer que les numéros français

Avant que WhatsApp ne corrige le problème, il était possible d’obtenir des numéros de téléphone en tapant « site : http://wa.me » dans Google. « En ajoutant le code pays (+33 pour la France), il était même possible de ne filtrer que les numéros français » précise Phonandroid, qui a fait le test. Si celui-ci a été négatif avec l’adresse « http://wa.me », il a été positif en tapant « site : api.whatsapp.com ». Mais cette dernière adresse n’est désormais plus indexée par Google.

Pas de récompense pour le chercheur

Même si des données personnelles ont filtré, WhatsApp n’a pas considéré qu’il s’agissait d’une faille de sécurité critique. Cela signifie que le chercheur ne recevra aucune récompense. « Bien que nous appréciions le rapport de ce chercheur et le temps qu’il a pris pour le partager avec nous, il n’était pas admissible à une récompense car cela concernait simplement un index d’URL de moteur de recherche que les utilisateurs de WhatsApp avaient choisi de rendre public », explique l’entreprise dans son communiqué, relayé par Futura Sciences. Même si le problème semble réglé, il est recommandé aux utilisateurs de ne pas utiliser la nouvelle fonction de partage de contacts dans WhatsApp pour le moment.