Durant ce week-end, plusieurs médias — dont Motherboard et Numerama — ont alerté sur le fait que certains groupes de discussion WhatsApp étaient particulièrement perméables. En effet, il suffisait d’effectuer une recherche sur Google, de cliquer sur un lien et hop, on pouvait suivre les échanges entre les différents membres. Mieux : on pouvait également siphonner les numéros de téléphone de tous les participants. C’est ainsi que Numerama, par exemple, a pu récupérer les numéros de plusieurs personnalités publiques.
Ces incursions dans des groupes privés sont possibles en raison de la fonctionnalité « Inviter à intégrer le groupe via un lien ». Celle-ci permet à l’administrateur d’un groupe de discussion de générer une URL qui permet à n’importe qui de rejoindre ce groupe en cliquant dessus. Cette adresse d’invitation est de la forme « https://chat.whatsapp.com/<une suite aléatoire de chiffres et de lettres> ». Cette fonctionnalité est pratique pour faire venir beaucoup de monde, mais elle est également risquée, car elle fait perdre le contrôle des admissions.
Le souci, c’est que de nombreux liens de ce genre ont été indexés par les moteurs de recherche. Sur Google, il suffisait de taper « site:chat.whatsapp.com » pour voir une liste de 470 000 liens d’invitation WhatsApp. On pouvait même ajouter un ou plusieurs mots-clés pour affiner les résultats de recherches et, ainsi, tomber sur des thèmes spécialisés.
A misconfiguration by WhatsApp enabled ~470k Group Invite links to be indexed by search engines
It should’ve been `Disallow`ed with robots.txt or with the `noindex` meta tag
thanks @JordanWildon for the tip https://t.co/CJxjJ5qyfh pic.twitter.com/FrW1I9Y8vs
— Jane Manchun Wong (@wongmjane) February 21, 2020
Pourquoi tous ces liens ont-ils été indexés ? Selon la chercheuse en sécurité Jane Manchun Wong, c’est en raison d’une mauvaise configuration des serveurs de WhatsApp. Cet éditeur aurait dû limiter l’indexation par les moteurs de recherche, par exemple au travers du fichier « robots.txt ». De son côté, WhatsApp a rejeté la faute sur les administrateurs et les membres des groupes. Auprès de Motherboard, un porte-parole a expliqué :
« Comme tout contenu partagé sur des canaux publiquement consultables, les liens d’invitation qui sont diffusés publiquement sur Internet peuvent être trouvés par d’autres utilisateurs de WhatsApp. Les liens que les utilisateurs souhaitent partager en privé avec des personnes qu’ils connaissent et en qui ils ont confiance ne doivent pas être publiés sur un site Web accessible au public. »
Autrement dit, si ces liens se retrouvent sur les moteurs de recherche, c’est parce qu’ils ont été publiés quelque part sur la Toile. Quoiqu’il en soit, les choses ont changé récemment. Sur Google, plus aucun lien d’invitation n’est référencé à ce jour. Pour Jane Manchun Wong, cette amélioration serait l’œuvre de WhatsApp, qui aurait enfin procédé à une meilleure configuration de ses serveurs web.
Looks like WhatsApp has fixed it by removing the existing listing from Google and adding the `noindex` meta tag on the chat invitation links! 😀 pic.twitter.com/kict2bsENu
— Jane Manchun Wong (@wongmjane) February 22, 2020
En revanche, cette solution n’est pas parfaite, car on trouve encore des liens d’invitation sur d’autres moteurs de recherche, tels que Bing ou Yandex.
Sources: Motherboard, Numerama
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
