Un journaliste de DW News a tweeté cette semaine un sombre avertissement: “Vos groupes WhatsApp ne sont peut-être pas aussi sûrs que vous le pensez.”

La raison de son inquiétude? Les liens d’invitation pour les groupes WhatsApp sont indexés par le moteur de recherche de Google, ce qui signifie que si un lien vers votre groupe privé existe n’importe où sur Internet, n’importe qui pourrait potentiellement trouver le lien et rejoindre votre groupe avec juste une recherche rapide sur Google.

La fonction “Inviter à un groupe via un lien” permet aux groupes d’être indexés par Google et ils sont généralement disponibles sur Internet. Avec certains termes de recherche génériques, vous pouvez facilement trouver des groupes… intéressants…. pic.twitter.com/hbDlyN6g3q

– Jordan Wildon (@JordanWildon) 21 février 2020

Pour ce faire, il suffit de taper “site: chat.whatsapp.com” dans la barre de recherche de Google. Une fois que vous l’avez fait, vous pouvez voir que Google a indexé jusqu’à 470 000 de ces liens, ce qui signifie que des centaines de milliers de groupes pourraient potentiellement être accessibles de cette façon.

Certes, certains de ces liens auraient pu être destinés au partage public par les administrateurs de leur groupe, mais comme l’ont découvert Vice News et certains utilisateurs de Twitter, certains des groupes indexés par Google n’étaient certainement pas destinés à être publics.

Vous pouvez trouver des groupes appartenant à des ONG et à d’autres organisations. Certains des groupes indexés peuvent également contenir du matériel illégal, un utilisateur de Twitter identifiant même des groupes qui se rapportent apparemment à la pornographie enfantine.

WhatsApp a émis la déclaration suivante à Vice:

Les administrateurs de groupe dans les groupes WhatsApp peuvent inviter n’importe quel utilisateur WhatsApp à rejoindre ce groupe en partageant un lien qu’ils ont généré. Comme tout contenu partagé sur des canaux publics consultables, les liens d’invitation qui sont publiés publiquement sur Internet peuvent être trouvés par d’autres utilisateurs de WhatsApp. Les liens que les utilisateurs souhaitent partager en privé avec des personnes qu’ils connaissent et en qui ils ont confiance ne doivent pas être publiés sur un site Web accessible au public.

Cependant, comme le fait remarquer Jane Manchun Wong en ingénierie inverse, WhatsApp aurait pu éviter que beaucoup de ces groupes soient indexés en modifiant certains des paramètres associés aux liens d’invitation de groupe, par exemple en utilisant la balise Meta “ noindex ”.

J’ai signalé à la sécurité Facebook au début de novembre pic.twitter.com/KSfsd8SYxt

– HackrzVijay 💻 (@hackrzvijay) 21 février 2020

Le problème avait été signalé au programme de primes aux bogues de Facebook par un chercheur l’année dernière, mais la société a jugé qu’elle ne justifiait pas une prime avec une déclaration similaire à celle donnée à Vice.

WhatsApp franchit la barre des 2 milliards d’utilisateurs mensuels

