Près de 500 000 conversations privées et des milliers de numéros de téléphone sont accessibles depuis des mois sur Google et autres moteurs de recherche, et ce, simplement. Bien que le problème ait été signalé, les coordonnées de certaines personnes sont toujours accessibles sur Internet.
Des discussions privées et des coordonnées rendues publiques
Grâce à une enquête, l’information a été révélée par Vice puis reprise par Numerama en France. Les conversations des groupes privés sur WhatsApp sont accessibles par une simple recherche sur Google, Bing et autres moteurs de recherche. il suffit d’afficher le groupe pour obtenir les données de contacts des membres, dont leurs numéros de téléphone. Les contacts de certaines personnalités ont ainsi été révélés.
Il se trouve que l’administrateur d’un groupe sur WhatsApp peut générer, au sein de l’application, un lien pour inviter d’autres utilisateurs à rejoindre la discussion. Pour cela, il faut se rendre dans les paramètres de la conversation puis cliquer sur “Inviter à intégrer le groupe via un lien”. La messagerie privée précise alors : “Toute personne ayant WhatsApp peut utiliser ce lien pour intégrer ce groupe. Partagez-le seulement avec les personnes en qui vous avez confiance”. Pourtant, ce même lien va être partagé avec le monde entier puisque, une fois généré, il devient public et est indexé par les moteurs de recherche. Bien entendu, ceci se fait à l’insu des utilisateurs de l’application. Pour affiner la recherche et cibler des thématiques de groupes, il suffit par la suite d’ajouter des mots-clés.
Le problème, c’est qu’il est ensuite possible d’accéder non seulement aux messages privés écrits depuis son acceptation dans le groupe de discussion, mais également aux données personnelles des membres, y compris les numéros de téléphone. Il est aisé d’identifier à qui ils appartiennent grâce à une simple recherche sur Google Images à partir des photos de profil. Les coordonnées de personnalités politiques, comme la militante féministe Caroline de Haas et le secrétaire national du parti Europe Écologie Les Verts Julien Bayou, se sont ainsi retrouvées sur Internet, accessibles à toute personne effectuant une requête dans la barre de recherche.
Un problème déjà signalé en novembre 2019
S’il n’est pas nouveau que WhatsApp possède des failles de sécurité, le fait que Google déréférence des liens d’invitation WhatsApp avait déjà été signalé en novembre 2019. En effet, Vijju, un chercheur en cybersécurité indien, explique avoir déjà interpellé sur ce sujet Facebook, qui rappelons-le détient WhatsApp. Kurt, un membre de la sécurité du groupe Facebook, lui avait répondu qu’il ne s’agissait pas d’une “faille” puisque “les liens accessibles à tous étaient une décision prise intentionnellement”. Il avait cependant reconnu que “la surprise (dans le rapport) était leur indexation par Google. Nous ne pouvons pas contrôler, malheureusement, tout ce que les moteurs de recherche, comme Google et les autres, choisissent d’indexer.”
À qui la faute ?
Mais alors, qui des moteurs de recherche ou de WhatApp est fautif dans cette histoire ? Un représentant de WhatsApp a déclaré dans un communiqué à Vice que “les administrateurs de groupes WhatsApp peuvent inviter n’importe quel utilisateur à rejoindre ce groupe grâce à un lien généré à la demande. Comme n’importe quel contenu partagé sur des pages sur les moteurs de recherche, les liens d’invitation publiés sur le Web peuvent être retrouvés par d’autres utilisateurs de WhatsApp. Ces liens, que les utilisateurs souhaiteraient garder privés avec d’autres personnes qu’ils connaissent et en qui ils ont confiance, ne devraient pas être mis en ligne sur des sites publics.”
Google a quant à lui répondu par un tweet de Danny Sullivan et renvoyé la responsabilité à WhatsApp : “Les moteurs de recherche comme Google et les autres recensent les pages publiques du web. C’est ce qu’il s’est produit dans ce cas précis. Ces pages sont traitées comme n’importe quel site ayant une adresse URL publique. Nous proposons des outils aux sites désirant bloquer le référencement de leur contenu.”
Suite à ces révélations, Google et Qwant ont cessé d’indexer les liens publics des conversations WhatsApp de groupe. Selon l’experte Jane Wong, il semblerait que WhatsApp ait modifié son code pour que plus aucun lien de groupe public ne puisse être indexé. En effet, la messagerie semble avoir changé son code en ajoutant le tag « noindex » afin que les liens publics de conversations groupées ne soient plus indexés.
Par Maurine Briantais, le
Source: BDM
Étiquettes: google, whatsapp, informations-personnelles
Catégories: Actualités, Cybersécurité