WhatsApp : 500 000 conversations privées accessibles librement sur Google

apps

Par Felix Gouty le

Via une simple recherche sur Google, il serait possible d’accéder à des centaines de milliers de conversations privées provenant de WhatsApp. Il serait même possible d’aller jusqu’à récupérer les numéros de téléphone des membres du réseau social.

WhatsApp se targue d’être une messagerie dont la priorité est le chiffrement de toutes les conversations de ses utilisateurs. Pourtant, des liens d’invitations à certaines de ses discussions se retrouveraint assez facilement sur Google. Développeuse, Jane Manchun Wong est connue pour découvrir les dessous des applications. Il y a peu, grâce à sa maîtrise du reverse-engineering, elle a mis au jour une fonctionnalité cachée d’Instagram. Aujourd’hui, elle a simplement effectué une recherche dans l’outil de navigation de Google pour s’apercevoir d’une faille d’ampleur de WhatsApp. Elle n’a eu qu’à rechercher “site:chat.whatsapp.com” pour exclure tout résultat dont l’URL ne comportait pas cette base d’adresse spécifique. Cette dernière est normalement réservée aux liens privés d’invitation à une discussion WhatsApp. Google en indexe ouvertement près de 500 000 !

Motherboard, la rédaction Tech de Vice, s’y est essayée elle aussi. Elle est majoritairement tombée sur des groupes d’échange d’images et vidéos pornographiques. Plus inquiétant encore, elle a découvert un lien pour rejoindre une conversation privée regroupant des associations et des ONGs accréditées par l’Organisation des nations unies (ONU). En fouillant dans les informations du groupe de discussion, les journalistes de Motherboard ont ainsi pu avoir accès aux identités et aux numéros de téléphone de 48 membres. De plus, même les méthodes de sécurisation supplémentaire de WhatsApp ne fonctionneraient pas. Si un lien d’invitation à un groupe est compromis, un administrateur de ce dernier a la possibilité d’en générer un nouveau. Néanmoins, le précédent ne serait pas rendu caduque et resterait indexé par Google.

En réaction à ces découvertes, Danny Sullivan, responsable chez Google, explique sur Twitter que les moteurs de recherche comme Google ne font que lister des pages du “web ouvert”. Le problème ne proviendrait pas, selon lui, de Google. Danny Sullivan en profite pour rediriger les utilisateurs de WhatsApp, soucieux de retrouver leurs liens d’accès vers leur discussion privée, vers l’outil empêchant Google d’indexer automatiquement certaines pages. Quant à l’application de messagerie chiffrée de Facebook, l’un de ses porte-paroles a déclaré : “les administrateurs de groupe de discussion WhatsApp ont la possibilité d’inviter n’importe quel autre utilisateur à rejoindre un groupe en partageant un lien qu’ils génèrent eux-mêmes. Comme tout contenu partagé ouvertement sur le web, il peut être découvert par d’autres utilisateurs. Les liens que les utilisateurs souhaiteraient rester privés et uniquement accessibles à des personnes de confiance ne devraient pas être partagés sur des sites web ouverts à tous.”