WhatsApp : Des numéros de téléphone et des conversations privées accessibles en quelques clics sur Google

Des liens Whatsapp générés pour inviter d'autres utilisateurs à une conversation ont été indexés par des moteurs de recherche, devenant ainsi visibles par tous.
Les conversations privées sur WhatsApp ne le sont peut-être pas vraiment… Plusieurs médias ont révélé ces derniers jours un vaste scandale lié à la vie privée de centaines de milliers d’utilisateurs de la messagerie appartenant à Facebook. Des moteurs de recherche, et notamment Google ou Bing, référenceraient les informations de certaines conversations échangées sur la messagerie chiffrée.

Pour partager l’accès à un groupe de discussion Whatsapp, les utilisateurs peuvent générer un lien à envoyer aux personnes qu’ils souhaitent voir rejoindre ce groupe. Et c’est ce fameux lien qui se retrouverait ainsi indexé sur les moteurs de recherche sans que les utilisateurs ne soient au courant, détaille le site américain Vice.
 

Des milliers de numéros de téléphone accessibles


Une simple recherche sur l’adresse « chat.whatsapp.com » permet d’obtenir des informations sur une discussion en particulier. Ce seul site renvoie vers près d’un demi-million de résultats, soit autant de conversations privées indexées par Google, note le site Vice. Des centaines de milliers de conversations, et des milliers de numéros de téléphone, dont ceux de personnalités publiques, sont ainsi accessibles en quelques clics sur le Web.

En ajoutant certains mots-clés, le site Numerama a pu rejoindre une conversation privée concernant le parti Europe Écologie-Les Verts en Île-de-France et ainsi accéder aux numéros de téléphone de plusieurs personnalités politiques.

 

À qui la faute ?

 

Ce ne sont pas les moteurs de recherche qui sont responsables de cette erreur, mais bien WhatsApp. Le service de messagerie aurait en effet dû signifier aux plateformes de ne pas indexer certaines URL. « Les moteurs de recherche comme Google recensent les pages Web. C’est ce qu’il se produit dans le cas évoqué. Ces pages sont traitées comme n’importe quel site ayant une adresse URL publique », a expliqué sur Twitter Danny Sullivan, en charge de la communication de Google, précisant que la plateforme « proposait des outils aux sites désirant bloquer le référencement de leur contenu ».

470.000 liens d’invitation à des conversations privées étaient encore accessibles sur Google vendredi. Mais il semblerait que la plateforme ait depuis désindexé un certain nombre de liens. Ce qui n’est pas le cas d’autres moteurs de recherche : Bing recensait encore samedi après-midi 697.000 résultats, de même pour Yahoo.


« Pas vraiment une faille »

 

Interrogé sur ce bug par un chercheur en cybersécurité indien en novembre 2019, Facebook avait répondu qu’il ne s’agissait pas vraiment d’une « faille ». « Le fait que les liens soient accessibles à tous est une décision intentionnelle » du groupe. « Nous ne pouvons malheureusement pas contrôler tout ce que les moteurs de recherche, comme Google et les autres, choisissent d’indexer », justifie l’entreprise.
WhatsApp a de nouveau mis en garde les internautes : « Les liens que les utilisateurs souhaitent partager en privé avec des personnes qu’ils connaissent et en qui ils ont confiance ne doivent pas être publiés sur un site Web accessible au public. »


Source : https://www.20minutes.fr/


 
Fawaz MOUSSOUGAN 
Consultant en cybersécurité
Certified Ethical Hacker
IT Security