WhatsApp : des liens d’invitation à des groupes privés retrouvables sur Google
Le 24 février 2020 à 08h39
2 min
Société numérique
Société
Un journaliste allemand a tweeté vendredi sa découverte : en récupérant une adresse de type « chat.whatsapp.com », il est possible de trouver des groupes privés de conversation et de s’y faire inviter.
La trouvaille a été confirmée peu après par Jane Manchun Wong, spécialiste en rétro-ingénierie des applications : Google aurait en réserve 470 000 résultats de ce type environ.
MotherBoard s’est penché sur la question. Nos confrères se sont servis de ces liens pour se faire ajouter dans des groupes, dont certains particulièrement sensibles. La plupart étaient destinés au partage d’images pornographiques, mais certains étaient beaucoup moins anodins.
Par exemple, l’un des groupes semblait être dédié à la communication entre ONG approuvées par les Nations Unies, du moins d’après le descriptif fourni. MotherBoard y a découvert notamment la liste des 48 participants, tous avec leur numéro de téléphone.
Pour Google, tout est normal : « Les moteurs de recherche comme Google et autres listent des pages du web ouvert. C’est ce qui se produit ici. Ce n’est pas différent de n’importe quel cas où un site autorise des adresses à être listées publiquement. Nous proposons des outils permettant aux sites de bloquer le contenu listé dans nos résultats ».
La vraie réponse vient finalement de WhatsApp : les liens d’invitation sont comme n’importe quel autre lien et deviennent retrouvables sur les moteurs s’ils ont été mis à disposition publiquement. En clair, le lien d’invitation doit être envoyé de manière privée, et non placé sur un site par exemple. C'est donc la faute des participants.
Le 24 février 2020 à 08h39
Commentaires (14)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 24/02/2020 à 09h21
La chaise, l’écran et l’entre-deux. L’histoire de l’humanité.
Le 24/02/2020 à 10h16
Pourtant c’est simple de mettre un robots.txt :
https://chat.whatsapp.com/robots.txt (même pas de 404, mais une page pourrie)
Le 24/02/2020 à 10h20
Je crois que tu n’as pas compris (ou alors c’est moi)
Des participants à ces groupes privés publient les liens d’invitations sur des pages WEB.
Une fois ces pages indéxées par Google, les liens sont trouvables via Google et permettent d’accéder à des groupes privés.
robots.txt n’a rien à voir dans l’histoire.
Le 24/02/2020 à 10h30
Le soucis c’est qu’un lien de ce type devrait être accompagné d’un mot de passe.
Le 24/02/2020 à 10h31
Ben si, si y avait un robots.txt correctement configuré pour refuser toute indexation, alors Google ne l’indexerait pas et aucun lien ne serait trouvable via une recherche.
Le 24/02/2020 à 10h37
Le robots.txt ne concerne que le site sur lequel il est hébergé. Même si https://chat.whatsapp.com/robots.txt interdisait tout crawl/indexation, ça n’empêcherait pas n’importe quel autre site de publier un lien sur une de ses pages vers une URL d’invitation. Et du coup cette autre page sur cet autre site sera indexée avec ce lien pour contenu.
Le 24/02/2020 à 10h59
Disons que ça aide un peu.
En tout cas, j’ai l’impression que Google a fait le ménage…
Le 24/02/2020 à 11h31
Une des questions reste de déterminer ce qu’est un canal de communication privé. Par exemple, si j’envoie par mail un lien à un contact, est-ce que ce message est privé ? Si moi ou mon interlocuteur à une boite mail hébergée par Google, est-ce que Google ne va pas tenter d’indexer le contenu de mon message ?
Il me semble qu’il y a peut être aussi un problème de frontière entre ce qui relève de la vie privé ou non. Et que cette frontière est toujours plus poussée par les GAFAM. Mark nous l’a bien expliqué, il rêve d’un monde sans vie privé, c’est-à-dire un monde où Facebook pourrait indexer toutes les données que nous produisons, sans limite ni contrainte.
Le 24/02/2020 à 12h19
Google va peut-être indexer ton mail, mais je doute très fortement que son contenu soit publiquement accessible ensuite, donc c’est un bon moyen. Sinon, il suffit simplement de réinitialiser le lien après quelques temps, pour couper les potentiels accès indésirés.
En tout cas, ça confirme bien que ces liens ont été indexés uniquement parce qu’ils étaient présents publiquement sur le web. Je croyais au départ à une faille du serveur qui publiait les liens aux quatre vents.
Le 24/02/2020 à 12h37
Le 24/02/2020 à 12h45
Ah oui effectivement je pensais pas que ça ressortait comme ça x)
Le 24/02/2020 à 12h47
L’investigation de Motherboard est vraiment fénéante pour le coup. On a reussi a se faire inviter, il semble y’a voir des trucs un peu sensibles, mais en fait sait pas trop et on a pas poussé plus loin. Ils auraient pu refourguer l’affaire à d’autres groupes journalistiques pour creuser plus loin, mais non. Mais quelle nulité.
Le 24/02/2020 à 13h20
Le 24/02/2020 à 17h48
ce genre de lien devrait surtout être à usage unique et périssable