Certains opérateurs de téléphonie mobile incluent le numéro de téléphone de leurs abonnés dans un en-tête HTTP que peut lire n’importe quel site web visité depuis un smartphone.

La découverte n’est pas récente : Collin Mulliner, un étudiant-chercheur en sécurité, en faisait la démonstration lors de la conférence de sécurité CanSecWest 2010. Mais si l’on en reparle aujourd’hui, c’est qu’un opérateur majeur s’est fait prendre à ce petit jeu. Le britannique O2 (et son MVO GiffGaff) fournissait ainsi le numéro de téléphone de l’abonné à tous les sites web visités depuis le smartphone. Et comme on l’imagine, ses usagers n’en sont pas particulièrement heureux (voire, vraiment pas heureux !). Il semble toutefois que cela n’était pas intentionnel, et ses équipes auraient désormais désactivé cette fonctionnalité.

La question demeure cependant de savoir comment un opérateur majeur a pu laisser passer cela alors que la recherche de Collin Mulliner a été publiée il y a un an et demi dans une conférence de sécurité majeure, et qu’elle a circulé dans les cercles des professionnels des telecoms.

L’en-tête incriminé est HTTP_X_UP_CALLING_LINE_ID, et une recherche à son sujet sur Google montre de très nombreuses discussions, datant parfois de 2009. Et pour les programmeurs les moins doués aussi des bouts de code afin de le récupérer sur n’importe quel site web. Considérant la facilité de la chose, il est très probable que de nombreux sites web se sont ainsi constitués une jolie base de numéros de téléphones mobiles ces trois dernières années…

Un outil en ligne est disponible pour tester son propre opérateur. En France, Bouygues Telecom et Orange ne semblent pas concernés (n’hésitez pas à tester votre propre opérateur et nous faire part de vos observations !)

Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Participez!

 Comments (3)