Le chercheur en sécurité Athul Jayaram a découvert des milliers de numéros de téléphone portable associés à WhatsApp grâce à une simple recherche sur le web : Google France a indexé 263 000 contacts, dont environ 5 500 numéros de notre pays. Selon le rapport, WhatsApp a demandé la suppression de ces résultats publics. Il y a quelques mois, un oubli similaire de la société a révélé 470 000 invitations de groupe dans la recherche.
WhatsApp vous permet de créer des liens pour faciliter l’envoi de messages à un contact qui ne figure pas encore sur votre calendrier ; cette fonction est appelée “conversation en un clic”. (cliquez pour chatter). Par exemple, le numéro de téléphone portable fictif +55 (11) 99999-8888 aurait le lien wa.me/55119998888.
Le problème est que les pages du domaine wa.me ont été indexées par Google parce que rien dans le code source ne l’empêchait. Ainsi, les liens – et les numéros de téléphone portable – finissent par apparaître dans la recherche. En y accédant, il est même parfois possible de voir la photo de profil de l’utilisateur : elle est configurée par défaut comme publique.
WhatsApp a indexé 5 570 liens avec des numéros de téléphone portable de France (+55) :
WhatsApp a demandé la suppression des liens de Google
Jusqu’à dimanche (7), les pages wa.me n’avaient pas la balise “noindex” dans le code HTML de la page, ce qui bloque l’indexation par les moteurs de recherche tels que Google, Bing et DuckDuckGo.
Cependant, PerlmOl a remarqué que WhatsApp a décidé d’inclure ce tag dans les dernières heures. Google, Bing et d’autres moteurs de recherche devront réindexer les liens WhatsApp pour les supprimer des résultats, ce qui devrait se produire dans les prochains jours.
Athul Jayaram explique dans Medium qu’il a contacté l’équipe Facebook, mais a reçu la réponse qu’il n’y a pas de récompense du programme de bounty bug pour ceux qui signalent un abus de données dans WhatsApp, seulement dans la plateforme Facebook (site, app, Messenger, Workplace etc.).
Dans une déclaration à Firstpost, WhatsApp a minimisé le problème en disant que les utilisateurs choisissaient de rendre leurs numéros de contact publics en utilisant la “conversation en un clic”.
Notre fonction “Click to Chat”, qui permet aux utilisateurs de créer une URL avec leur numéro de téléphone afin que chacun puisse envoyer des messages facilement, est largement utilisée par les petites et micro-entreprises du monde entier pour se connecter avec leurs clients.
Bien que nous apprécions le rapport de ce chercheur et le temps qu’il a pris pour le partager avec nous, il n’a pas eu droit à une récompense car il contenait seulement un index des URL que les utilisateurs de WhatsApp ont choisi de rendre public. Tous les utilisateurs de WhatsApp, y compris les entreprises, peuvent bloquer les messages indésirables en appuyant sur un bouton.
En février de cette année, un journaliste a découvert environ 470 000 liens vers les groupes WhatsApp sur Google. Ils pouvaient être trouvés par le biais du domaine chat.whatsapp.com car les pages n’empêchaient pas les moteurs de recherche de les parcourir.
Tout comme maintenant, WhatsApp a minimisé ce qui s’est passé, mais a rapidement ajouté la balise ” noindex ” aux liens d’invitation des groupes. Actuellement, la recherche sur le site:chat.whatsapp.com n’apporte aucun résultat sur Google.
