WhatsApp : vos conversations privées et votre numéro de téléphone indexés sur Google
Près de 500 000 conversations privées et des milliers de numéros de téléphone étaient accessibles depuis des mois sur Google. Ils le sont toujours sur le moteur de recherche Bing.
Alors que l’application de messagerie en ligne de Facebook vient de fêter ses 2 milliards d’utilisateurs en insistant sur le chiffrement de ses conversations, un scandale lié à la vie privée de centaines de milliers d’utilisateurs a éclaté sur la toile. 470 000 liens d’invitations pour rejoindre des conversations privées ont été indexés par les moteurs de recherche, comme Google. En rejoignant ces discussions, censées être privées, il est possible d’accéder à des milliers de numéros de téléphone en effectuant une simple recherche sur la toile.
D’où viennent ces liens de WhatsApp rendus publics sur les moteurs de recherche ?
Si vous êtes administrateur d’un groupe sur WhatsApp, vous pouvez générer, au sein même de l’application, un lien pour inviter d’autres utilisateurs à rejoindre la discussion. Il suffit pour cela de se rendre dans les paramètres de la conversation et de cliquer sur « Inviter à intégrer le groupe via un lien ».
Une fenêtre s’ouvre alors dans l’application WhatsApp avec le lien ainsi créé, que l’utilisateur peut partager, copier, scanner sous forme de QR code ou le réinitialiser. La messagerie privée précise sur cette page : « toute personne ayant WhatsApp peut utiliser ce lien pour intégrer ce groupe. Partagez-le seulement avec les personnes en qui vous avez confiance ». Ce sont ces liens d’invitation qui, une fois générés, sont devenus publics et ont été indexés par les moteurs de recherche, comme Google ou encore Bing, et ce, à l’insu des utilisateurs de WhatsApp.
Il est tout à fait possible, pour un administrateur de groupe, de ne plus rendre public ce lien d’invitation. Pour cela, il faut de cliquer sur le bouton « Réinitialiser le lien », qui va en générer un autre. Si vous ne le diffusez pas, ce nouveau lien ne sera peut-être pas ré-indexé par les moteurs de recherche, ce qui vous permettra de conserver un semblant d’anonymat sur la toile.
Les numéros de personnalités politiques françaises accessibles sur Google
En recherchant l’URL correspondant à un chat de WhatsApp ou en tapant la requête générale « site:chat.whatsapp.com » sur Google, ces centaines de milliers de conversations étaient accessibles en quelques clics. Si toutes ne sont plus actives et s’il n’est pas possible d’accéder aux messages envoyés avant son intégration au sein d’un groupe, l’intégralité des numéros de téléphone de personnes faisant partie de ces groupes étaient également accessibles de manière publique.
Ainsi, les coordonnées des personnalités politiques, comme la militante féministe Caroline de Haas, le secrétaire national du parti Europe Écologie Les Verts Julien Bayou, ou encore un membre de la campagne LREM pour le 10e arrondissement de Paris, étaient ainsi facilement accessibles depuis une simple requête sur Google, selon l’enquête menée par Numerama.
Google déréférence les liens d’invitation WhatsApp sur son moteur
Si Google a d’ores et déjà déréférencé la totalité des liens WhatsApp qui avaient été indexés par son moteur, se montrant le plus réactif, il n’en est pas de même pour Bing, qui référence toujours près de 700 000 liens d’invitations vers des conversations privées sur WhatsApp.
Facebook au courant depuis le mois de novembre 2019…
Le scandale a été révélé vendredi par le site américain Vice, qui s’est appuyé sur un thread publié sur Twitter par le journaliste allemand de Deutsche Welle, Jordan Wildon :
Your WhatsApp groups may not be as secure as you think they are.
The « Invite to Group via Link » feature allows groups to be indexed by Google and they are generally available across the internet. With some wildcard search terms you can easily find some… interesting… groups. pic.twitter.com/hbDlyN6g3q
— Jordan Wildon (@JordanWildon) February 21, 2020
Pour afficher ce contenu issu des réseaux sociaux, vous devez accepter les cookies et traceurs publicitaires.
Ces cookies et traceurs permettent à nos partenaires de vous proposer des publicités et des contenus personnalisés en fonction de votre navigation, de votre profil et de vos centres d’intérêt.Plus d’infos.
Selon la chercheuse Jane Wong, une mauvaise configuration de WhatsApp pourrait être à l’origine de l’indexation d’environ 470 000 invitations de groupe, rebondissant ainsi au tweet de Jordan Wilson :
A misconfiguration by WhatsApp enabled ~470k Group Invite links to be indexed by search engines
It should’ve been `Disallow`ed with robots.txt or with the `noindex` meta tag
thanks @JordanWildon for the tip https://t.co/CJxjJ5qyfh pic.twitter.com/FrW1I9Y8vs
— Jane Manchun Wong (@wongmjane) February 21, 2020
Pour afficher ce contenu issu des réseaux sociaux, vous devez accepter les cookies et traceurs publicitaires.
Ces cookies et traceurs permettent à nos partenaires de vous proposer des publicités et des contenus personnalisés en fonction de votre navigation, de votre profil et de vos centres d’intérêt.Plus d’infos.
En novembre dernier, Vijju, un chercheur en cybersécurité indien, avait interpellé sur ce sujet Facebook, qui détient WhatsApp. Kurt, un membre de la sécurité du groupe Facebook, lui avait alors répondu qu’il ne s’agissait pas d’une « faille ». Ces liens étant publics, ils sont « accessibles de tous » et la génération de ces liens d’invitations reste une « décision intentionnelle ».
Kurt avait néanmoins reconnu que leur indexation par Google était une surprise. « Nous ne pouvons pas contrôler, malheureusement, tout ce que les moteurs de recherche, comme Google et les autres, choisissent d’indexer. »
I reported to facebook in early november pic.twitter.com/QB7pHsz5vu
— HackrzVijay 💻 (@hackrzvijay) February 21, 2020
Pour afficher ce contenu issu des réseaux sociaux, vous devez accepter les cookies et traceurs publicitaires.
Ces cookies et traceurs permettent à nos partenaires de vous proposer des publicités et des contenus personnalisés en fonction de votre navigation, de votre profil et de vos centres d’intérêt.Plus d’infos.
WhatsApp et Google se renvoient la balle
Interrogé par Vice, un représentant de WhatsApp a déclaré dans un communiqué : « les administrateurs de groupes WhatsApp peuvent inviter n’importe quel utilisateur à rejoindre ce groupe grâce à un lien généré à la demande. Comme n’importe quel contenu partagé sur des pages sur les moteurs de recherche, les liens d’invitation publiés sur le Web peuvent être retrouvés par d’autres utilisateurs de WhatsApp. Ces liens, que les utilisateurs souhaiteraient garder privés avec d’autres personnes qu’ils connaissent et en qui ils ont confiance, ne devraient pas être mis en ligne sur des sites publics ».
De son côté, Google a réagi par le biais de Danny Sullivan, sur Twitter, renvoyant ainsi la responsabilité du scandale à WhatsApp : « les moteurs de recherche comme Google et les autres recensent les pages publiques du web. C’est ce qu’il s’est produit dans ce cas précis. Ces pages sont traitées comme n’importe quel site ayant une adresse URL publique. Nous proposons des outils aux sites désirant bloquer le référencement de leur contenu. »
Search engines like Google & others list pages from the open web. That’s what’s happening here. It’s no different than any case where a site allows URLs to be publicly listed. We do offer tools allowing sites to block content being listed in our results: https://t.co/D1YIt228E3
— Danny Sullivan (@dannysullivan) February 21, 2020
Pour afficher ce contenu issu des réseaux sociaux, vous devez accepter les cookies et traceurs publicitaires.
Ces cookies et traceurs permettent à nos partenaires de vous proposer des publicités et des contenus personnalisés en fonction de votre navigation, de votre profil et de vos centres d’intérêt.Plus d’infos.
Community managers : découvrez les résultats de notre enquête 2025
Réseaux, missions, salaire... Un webinar pour tout savoir sur les CM, lundi 29 septembre à 11h !
Je m'inscrisLes meilleurs outils pour les professionnels du web
Scheduled
Emplifi
Netino by Concentrix
