- Date : 25 Janvier 2012

- Gravité : Moyenne

- Description :
La vie privée d’un internaute est décidément difficile à protéger.

Il y a quelques heures seulement, un chercheur anglais révélait que l’opérateur de téléphonie mobile anglais O2 envoyait le numéro de téléphone de l’abonné aux sites internet qu’il visite à l’aide de son navigateur Internet. Pour cela, il lui a suffi de mettre en ligne sur son site personnel un script PHP (http://lew.io/headers.php) récupérant et affichant les entêtes HTTP reçus par le serveur. Résultat étrange dans le cas des abonnées O2, un entête "x-up-calling-line-id" apparaît dans les résultats. Celui-ci ne contient ni plus, ni moins que le numéro de téléphone permettant de joindre l’internaute. Ce problème surviendrait aussi avec les NVNO (opérateurs virtuels) utilisant le réseau d’O2, comme GiffGaff.

Des tests réalisés chez les autres opérateurs anglais tels qu’Orange, T-Mobile ou encore Vodafone montrent que ceux-ci ne divulguent pas cette information personnelle sensible aux sites visités par les internautes depuis leurs smartphones.

D’après certaines personnes, il se pourrait que cette information soit publiée par les navigateurs des abonnés O2 afin de simplifier la tâche d’identification lorsque ceux-ci souhaitent visiter certains sites de l’opérateur. Malheureusement, le (ou les) proxy utilisé pour sortir sur Internet aurait été mal configuré, et laisserait donc sortir cette information.

- Référence :
http://thenextweb.com/mobile/2012/01/25/uk-mobile-operator-o2-sends-your-phone-number-to-every-website-you-visit/

- Lien extranet XMCO :
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0119