WhatsApp est confronté à une crise de sécurité de grande ampleur, après que quelques 4 000 liens d’invitations vers des groupes privés, et plus de 500 000 conversations associées à ces derniers, aient été référencés publiquement sur le moteur de recherche Google.
Par défaut, ces liens ne sont visibles uniquement que par les utilisateurs invités dans le groupe privé qui les génère. Toutefois, s'ils sont mis en ligne ou partagés publiquement, alors ils peuvent être facilement indexés par le moteur de recherche. Permettant à de parfaits inconnus de les trouver, de rejoindre les groupes privés révélés et de récupérer les conversations confidentielles.
- Google retire près de 600 applications Android illégales du Play Store.
- Un bug critique dans le plugin WordPress permettrait d'effacer des sites entiers.
- WhatsApp : comment sauvegarder vos messages et fichiers média ?
Google accuse WhatsApp, WhatsApp accuse… ses abonnés
Danny Sullivan, responsable des relations publiques chez Google, a tweeté que le moteur de recherche ne faisait que relayer des informations déjà publiques. Un fonctionnement standard que WhatsApp aurait pu éviter en utilisant une balise méta « noindex » ou « norobots.txt » automatique sur la génération des liens d’invitation.
Search engines like Google & others list pages from the open web. That’s what’s happening here. It’s no different than any case where a site allows URLs to be publicly listed. We do offer tools allowing sites to block content being listed in our results: https://t.co/D1YIt228E3February 21, 2020
Autre son de cloche chez WhatsApp qui place la responsabilité des fuites carrément sur les épaules de ses utilisateurs. Dans une déclaration adressée au magazine Vice, un porte-parole de WhatsApp a clairement mis en cause les membres des groupes privés problématiques : « Les administrateurs des groupes WhatsApp peuvent inviter n'importe quel utilisateur à rejoindre ce groupe en partageant un lien qu'ils ont généré […] Ces liens d'invitation peuvent être visibles par de tierces personnes s’ils sont publiés sur Internet. Ils doivent être partagés en privé avec des interlocuteurs de confiance, non sur un site web accessible à tous ».
Ne pas partager de liens privés en ligne est une bonne pratique. Mais elle est facilement négligée par les membres de pages comme de groupes publics sur Facebook, par exemple. Reste que dans ce cas, Google est catégorique : WhatsApp aurait pu protéger la vie privée de ses utilisateurs avec une simple désindexation desdits liens.
