Une faille de WhatsApp permet à des centaines de milliers de liens d'invitation à des groupes privés d'être indexés par des moteurs de recherche tels que Google.
WhatsApp est l’une des plateformes de messagerie les plus utilisées au monde. Ce mois-ci, la société ont annoncé avoir dépassé les 2 milliards d'utilisateurs. Comme avec d'autres plateformes de messagerie, les discussions de groupe WhatsApp sont un moyen populaire de communiquer avec votre famille ou des groupes d'amis, des collègues ou des inconnus sur Internet. Les utilisateurs peuvent inviter d'autres personnes à rejoindre des groupes privés grâce à la fonctionnalité « Inviter à un groupe via un lien », puis partager ce lien comme ils le souhaitent. Si ces liens d’invitation sont partagés en ligne, il semble extrêmement facile de les trouver avec une simple requête sur un moteur de recherche.
Ce défaut de conception a été signalé pour la première fois par le journaliste Jordan Wildon sur Twitter. Il a découvert que les URL « Inviter à rejoindre un groupe via un lien » étaient indexées par Google et pouvaient être trouvées avec les bons termes de recherche. Les liens de discussion de groupe utilisent l'URL de base « chat.whatsapp.com », qui peut être trouvée sur Google avec le modificateur « site: ».
Jane Manchun Wong, connue pour ses applications de rétro-ingénierie, a attiré davantage l'attention sur la situation. Elle a découvert que Google obtenait plus de 470 000 résultats en effectuant une simple recherche sur le site pour l'URL « chat.whatsapp.com ». Beaucoup de ces résultats sont des invitations à des groupes privés. Une fois qu'un utilisateur rejoint un groupe, il peut voir tous les participants et leurs numéros de téléphone. De toute évidence, il s’agit d’un problème de confidentialité assez important, car certains groupes sont ceux avec lesquels les gens ne souhaitent peut-être pas être associés publiquement.
Danny Sullivan, responsable de la recherche publique chez Google, tweeté sur la situation, en disant: « Les moteurs de recherche comme Google et d'autres répertorient les pages du Web ouvert. C’est ce qui se passe ici. Ce n'est pas différent de n'importe quel cas où un site autorise la publication d'URL. » Il poursuit en disant qu'il existe outils aux webmasters d'empêcher le contenu d'apparaître dans les résultats de recherche, ce que WhatsApp doit clairement faire pour protéger les utilisateurs de ces groupes.
Ce n'est pas la faute de Google ou de tout autre moteur de recherche. Comme Jane et Danny l'ont souligné, cela est dû à un manque de prévoyance de la part de WhatsApp. Ils doivent utiliser la balise méta « noindex » ou « norobots.txt » pour empêcher les pages d'invitation d'apparaître dans les moteurs de recherche.
Un porte-parole de WhatsApp a publié la déclaration suivante à Vice:
Les administrateurs de groupe des groupes WhatsApp peuvent inviter n'importe quel utilisateur de WhatsApp à rejoindre ce groupe en partageant un lien qu'ils ont généré. Comme tout contenu partagé sur des chaînes publiques consultables, les liens d’invitation publiés publiquement sur Internet peuvent être trouvés par d’autres utilisateurs de WhatsApp. Les liens que les utilisateurs souhaitent partager en privé avec des personnes qu'ils connaissent et en qui ils ont confiance ne doivent pas être publiés sur un site Web accessible au public.
WhatsApp dit que les liens partagés publiquement sur Internet peuvent être recherchés, mais c'est là que réside le véritable problème. Il ne s’agit pas ici de personnes trouvant quelques liens de discussion de groupe qui auraient été imprudemment partagés en ligne. Des milliers de liens d’invitation à des discussions de groupe sont facilement détectables car WhatsApp refuse de faire quoi que ce soit pour empêcher les moteurs de recherche de les indexer. Les gens ne devraient pas partager ces URL en ligne, mais WhatsApp pourrait résoudre le problème de leur facilité de recherche.