Les gens utilisent WhatsApp pour discuter avec leurs amis et leur famille parce que c’est facile à utiliser et privé. Mais l’application cryptée pourrait ne pas être aussi privée que vous le pensez.
Les discussions de groupe de WhatsApp peuvent être facilement trouvées via une recherche Google, car le moteur de recherche indexe des liens vers des conversations censées être privées.
Il suffit d’une recherche rapide sur Google et n’importe qui peut rejoindre une série de chats WhatsApp, y compris ceux censés être privés, selon le site technologique estimé Vice qui a été le premier à révéler l’histoire.
Les conversations WhatsApp privées ne sont généralement accessibles que via un code d’invitation remis aux membres du groupe par le modérateur du chat. Mais ce code est simplement une chaîne de texte et une URL, et il semble qu’au moins certaines d’entre elles soient indexées afin qu’elles soient trouvables par n’importe qui via Google.
Vous pouvez voir si certaines de vos discussions privées sont visibles en tapant chat.whatsapp.com puis en ajoutant quelques détails relatifs à la discussion de groupe.
Que s’est-il passé ?
Sur Twitter hier (21 février), un journaliste multimédia du média allemand Deutsche Welle, Jordan Wildon a lancé un avertissement : « Vos groupes WhatsApp ne sont peut-être pas aussi sécurisés que vous le pensez. »
Il a détaillé comment la fonction « Inviter à un groupe via un lien » « permet aux groupes d’être indexés par Google » et « ils sont généralement disponibles sur Internet. »
En d’autres termes, Wildon a expliqué : « Tout lien de groupe qui est partagé il en dehors de la messagerie privée et sécurisée peut relativement facilement être trouvé et rejoint. »
Et il y a pire : même si vous n’avez pas partagé le lien, il a dit « qu’il est possible, mais difficile, d’exécuter une sorte de méthode de force brute pour avoir accès à une URL qui correspond à une discussion de groupe active. »
Le hacker éthique renommé Jane Manchun Wong a confirmé cela dans un tweet ultérieur, ajoutant que 470 000 résultats de recherche peuvent être trouvés sur Google pour le terme « chat.whatsapp.com » – une section de l’URL utilisée pour les invitations de groupe WhatsApp.
Plusieurs de ces liens mènent à des sujets sensibles tels que le porno, a constaté Vice. Une recherche rapide par cet auteur a trouvé des liens similaires facilement disponibles.
Même s’il est vrai que certains de ces liens sont censés être ouverts au public, Vice a également trouvé des chats qui exposaient les numéros de téléphone de 48 participants à une conversation de groupe WhatsApp entre ce qui semblait être des organisations non gouvernementales accréditées par les Nations unies.
J’ai contacté le propriétaire de WhatsApp, Facebook et Google, pour un commentaire et je mettrai à jour cette histoire s’ils répondent.
Pourquoi cela se produit-il ?
Suite à l’évocation de la question, Danny Sullivan, chargé de la liaison avec la recherche publique chez Google, a expliqué ce qui se passait. « Les moteurs de recherche comme Google et d’autres répertorient les pages du web ouvert. C’est ce qui se passe ici. Ce n’est pas différent de n’importe quel cas où un site permet à des URL d’être listées publiquement. »
Mais le hacker éthique @HackrzVijay a déclaré qu’il avait signalé le problème au propriétaire de WhatsApp, Facebook, en novembre dernier, et que Facebook n’avait rien fait à ce sujet. En fait, c’est une « décision intentionnelle du produit », a déclaré Facebook, et les administrateurs de groupe « peuvent invalider le lien s’ils le souhaitent. »
En outre, bien que Facebook ait admis qu’il était « surpris » que les liens soient indexés par Google, il a dit ne pas pouvoir contrôler ce que Google indexe.
Mais c’est mauvais, non ?
Ce n’est certainement pas l’idéal, surtout si vous utilisez WhatsApp pour des conversations sensibles. Jake Moore, spécialiste de la cybersécurité chez ESET, affirme que la possibilité de trouver des chats aussi facilement est « tout à fait horrifiante »
« Je ne peux pas voir une raison bénéfique pour laquelle une partie verrait cela comme une bonne idée. En fait, cela ne fait que rendre WhatsApp moins sûr. C’est peut-être crypté au milieu, mais si vous êtes accepté dans une discussion de groupe, vous avez la clé de cryptage pour lire dessus. »
Bien que Moore n’ait trouvé aucune de ses propres discussions, il a cherché « The Girls » – le nom d’un groupe dont sa femme était membre – et a trouvé de nombreux autres groupes portant le même nom, y compris des conversations liées au porno.
Ce qu’il faut faire
WhatsApp est chiffré de bout en bout, mais il appartient désormais à Facebook, qui intègre Instagram, Facebook Messenger et WhatsApp en back-end.
Après une série de scandales liés aux données, de problèmes de confidentialité et de brèches, de nombreuses personnes ne font pas confiance à Facebook, il pourrait donc être judicieux d’essayer autre chose. Moore d’ESET recommande d’utiliser les applications de chat Signal ou Telegram qui, dit-il, « se concentrent davantage sur la sécurité et la confidentialité des utilisateurs. »
Le chercheur en sécurité Sean Wright est d’accord. Il dit que toute personne préoccupée par la vie privée devrait essayer Signal « car il ne semble pas que Facebook ou Google vont faire beaucoup à ce sujet. »
Personnellement, je favorise Signal, qui ajoute un certain nombre de fonctionnalités conviviales pour les consommateurs et qui est super-sécurisé et facile à utiliser. Cela se résume à ce que vous pouvez persuader vos amis et votre famille de faire. Peut-être leur montrer cette histoire et se mettre d’accord sur la meilleure appli pour vous tous.
–
Mise à jour le 23 février à 03:20 ET
Le problème semble maintenant être réglé sur Google, ce qui, me dit-on, pourrait être dû à un changement discret effectué par Facebook, propriétaire de WhatsApp. J’ai contacté à nouveau les deux entreprises pour obtenir des commentaires et je fournirai plus de mises à jour au fur et à mesure que je les entends.
Cependant, le problème est toujours là lorsqu’on utilise les autres principaux moteurs de recherche, et les modérateurs de groupes WhatsApp doivent être très prudents. Jordan Wildon recommande d’aller dans les paramètres du groupe, de taper sur « Inviter au groupe via un lien » puis « Réinitialiser le lien ».
Cela ne désactive pas le lien : cela en génère un nouveau, a-t-il démontré dans un tweet.
Suivez-moi sur Twitter ou LinkedIn.