Un journaliste allemand a tweeté vendredi sa découverte : en récupérant une adresse de type « chat.whatsapp.com », il est possible de trouver des groupes privés de conversation et de s’y faire inviter.
La trouvaille a été confirmée peu après par Jane Manchun Wong, spécialiste en rétro-ingénierie des applications : Google aurait en réserve 470 000 résultats de ce type environ.
MotherBoard s’est penché sur la question. Nos confrères se sont servis de ces liens pour se faire ajouter dans des groupes, dont certains particulièrement sensibles. La plupart étaient destinés au partage d’images pornographiques, mais certains étaient beaucoup moins anodins.
Par exemple, l’un des groupes semblait être dédié à la communication entre ONG approuvées par les Nations Unies, du moins d’après le descriptif fourni. MotherBoard y a découvert notamment la liste des 48 participants, tous avec leur numéro de téléphone.
Pour Google, tout est normal : « Les moteurs de recherche comme Google et autres listent des pages du web ouvert. C’est ce qui se produit ici. Ce n’est pas différent de n’importe quel cas où un site autorise des adresses à être listées publiquement. Nous proposons des outils permettant aux sites de bloquer le contenu listé dans nos résultats ».
La vraie réponse vient finalement de WhatsApp : les liens d’invitation sont comme n’importe quel autre lien et deviennent retrouvables sur les moteurs s’ils ont été mis à disposition publiquement. En clair, le lien d’invitation doit être envoyé de manière privée, et non placé sur un site par exemple. C'est donc la faute des participants.
Commentaires (15)
#1
La chaise, l’écran et l’entre-deux. L’histoire de l’humanité.
#2
Pourtant c’est simple de mettre un robots.txt :
https://chat.whatsapp.com/robots.txt (même pas de 404, mais une page pourrie)
#3
Je crois que tu n’as pas compris (ou alors c’est moi)
Des participants à ces groupes privés publient les liens d’invitations sur des pages WEB.
Une fois ces pages indéxées par Google, les liens sont trouvables via Google et permettent d’accéder à des groupes privés.
robots.txt n’a rien à voir dans l’histoire.
#4
Le soucis c’est qu’un lien de ce type devrait être accompagné d’un mot de passe.
#5
Ben si, si y avait un robots.txt correctement configuré pour refuser toute indexation, alors Google ne l’indexerait pas et aucun lien ne serait trouvable via une recherche.
#6
Le robots.txt ne concerne que le site sur lequel il est hébergé. Même si https://chat.whatsapp.com/robots.txt interdisait tout crawl/indexation, ça n’empêcherait pas n’importe quel autre site de publier un lien sur une de ses pages vers une URL d’invitation. Et du coup cette autre page sur cet autre site sera indexée avec ce lien pour contenu.
#7
Disons que ça aide un peu.
En tout cas, j’ai l’impression que Google a fait le ménage…
#8
Une des questions reste de déterminer ce qu’est un canal de communication privé. Par exemple, si j’envoie par mail un lien à un contact, est-ce que ce message est privé ? Si moi ou mon interlocuteur à une boite mail hébergée par Google, est-ce que Google ne va pas tenter d’indexer le contenu de mon message ?
Il me semble qu’il y a peut être aussi un problème de frontière entre ce qui relève de la vie privé ou non. Et que cette frontière est toujours plus poussée par les GAFAM. Mark nous l’a bien expliqué, il rêve d’un monde sans vie privé, c’est-à-dire un monde où Facebook pourrait indexer toutes les données que nous produisons, sans limite ni contrainte.
#9
Google va peut-être indexer ton mail, mais je doute très fortement que son contenu soit publiquement accessible ensuite, donc c’est un bon moyen. Sinon, il suffit simplement de réinitialiser le lien après quelques temps, pour couper les potentiels accès indésirés.
En tout cas, ça confirme bien que ces liens ont été indexés uniquement parce qu’ils étaient présents publiquement sur le web. Je croyais au départ à une faille du serveur qui publiait les liens aux quatre vents.
#10
#11
Ah oui effectivement je pensais pas que ça ressortait comme ça x)
#12
L’investigation de Motherboard est vraiment fénéante pour le coup. On a reussi a se faire inviter, il semble y’a voir des trucs un peu sensibles, mais en fait sait pas trop et on a pas poussé plus loin. Ils auraient pu refourguer l’affaire à d’autres groupes journalistiques pour creuser plus loin, mais non. Mais quelle nulité.
#13
#14
ce genre de lien devrait surtout être à usage unique et périssable