Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !
WhatsApp : des liens d’invitation à des groupes privés retrouvables sur Google

Un journaliste allemand a tweeté vendredi sa découverte : en récupérant une adresse de type « chat.whatsapp.com », il est possible de trouver des groupes privés de conversation et de s’y faire inviter.

La trouvaille a été confirmée peu après par Jane Manchun Wong, spécialiste en rétro-ingénierie des applications : Google aurait en réserve 470 000 résultats de ce type environ. 

MotherBoard s’est penché sur la question. Nos confrères se sont servis de ces liens pour se faire ajouter dans des groupes, dont certains particulièrement sensibles. La plupart étaient destinés au partage d’images pornographiques, mais certains étaient beaucoup moins anodins.

Par exemple, l’un des groupes semblait être dédié à la communication entre ONG approuvées par les Nations Unies, du moins d’après le descriptif fourni. MotherBoard y a découvert notamment la liste des 48 participants, tous avec leur numéro de téléphone.

Pour Google, tout est normal : « Les moteurs de recherche comme Google et autres listent des pages du web ouvert. C’est ce qui se produit ici. Ce n’est pas différent de n’importe quel cas où un site autorise des adresses à être listées publiquement. Nous proposons des outils permettant aux sites de bloquer le contenu listé dans nos résultats ».

La vraie réponse vient finalement de WhatsApp : les liens d’invitation sont comme n’importe quel autre lien et deviennent retrouvables sur les moteurs s’ils ont été mis à disposition publiquement. En clair, le lien d’invitation doit être envoyé de manière privée, et non placé sur un site par exemple. C'est donc la faute des participants. 

15 commentaires
Avatar de KaraMan Abonné
Avatar de KaraManKaraMan- 24/02/20 à 09:21:48

La chaise, l'écran et l'entre-deux. L'histoire de l'humanité.

Avatar de bilbonsacquet Abonné
Avatar de bilbonsacquetbilbonsacquet- 24/02/20 à 10:16:35

Pourtant c'est simple de mettre un robots.txt :
https://chat.whatsapp.com/robots.txt (même pas de 404, mais une page pourrie)

Avatar de PtiDidi Abonné
Avatar de PtiDidiPtiDidi- 24/02/20 à 10:20:26

Je crois que tu n'as pas compris (ou alors c'est moi)

Des participants à ces groupes privés publient les liens d'invitations sur des pages WEB.
Une fois ces pages indéxées par Google, les liens sont trouvables via Google et permettent d'accéder à des groupes privés.

robots.txt n'a rien à voir dans l'histoire.

Avatar de misocard Abonné
Avatar de misocardmisocard- 24/02/20 à 10:30:44

Le soucis c'est qu'un lien de ce type devrait être accompagné d'un mot de passe.

Avatar de maverick78 Abonné
Avatar de maverick78maverick78- 24/02/20 à 10:31:48

Ben si, si y avait un robots.txt correctement configuré pour refuser toute indexation, alors Google ne l'indexerait pas et aucun lien ne serait trouvable via une recherche.

Avatar de Kenairod Abonné
Avatar de KenairodKenairod- 24/02/20 à 10:37:36

Le robots.txt ne concerne que le site sur lequel il est hébergé. Même si https://chat.whatsapp.com/robots.txt interdisait tout crawl/indexation, ça n'empêcherait pas n'importe quel autre site de publier un lien sur une de ses pages vers une URL d'invitation. Et du coup cette autre page sur cet autre site sera indexée avec ce lien pour contenu.

Édité par Kenairod le 24/02/2020 à 10:39
Avatar de bilbonsacquet Abonné
Avatar de bilbonsacquetbilbonsacquet- 24/02/20 à 10:59:32

Disons que ça aide un peu.

En tout cas, j'ai l'impression que Google a fait le ménage…

Avatar de loconox INpactien
Avatar de loconoxloconox- 24/02/20 à 11:31:33

Une des questions reste de déterminer ce qu'est un canal de communication privé. Par exemple, si j'envoie par mail un lien à un contact, est-ce que ce message est privé ? Si moi ou mon interlocuteur à une boite mail hébergée par Google, est-ce que Google ne va pas tenter d'indexer le contenu de mon message ?

Il me semble qu'il y a peut être aussi un problème de frontière entre ce qui relève de la vie privé ou non. Et que cette frontière est toujours plus poussée par les GAFAM. Mark nous l'a bien expliqué, il rêve d'un monde sans vie privé, c'est-à-dire un monde où Facebook pourrait indexer toutes les données que nous produisons, sans limite ni contrainte.

Avatar de Vekin Abonné
Avatar de VekinVekin- 24/02/20 à 12:19:44

Google va peut-être indexer ton mail, mais je doute très fortement que son contenu soit publiquement accessible ensuite, donc c'est un bon moyen. Sinon, il suffit simplement de réinitialiser le lien après quelques temps, pour couper les potentiels accès indésirés.

En tout cas, ça confirme bien que ces liens ont été indexés uniquement parce qu'ils étaient présents publiquement sur le web. Je croyais au départ à une faille du serveur qui publiait les liens aux quatre vents.

Avatar de John Livingston Abonné
Avatar de John LivingstonJohn Livingston- 24/02/20 à 12:37:58

Kenairod a écrit :

Le robots.txt ne concerne que le site sur lequel il est hébergé. Même si https://chat.whatsapp.com/robots.txt interdisait tout crawl/indexation, ça n'empêcherait pas n'importe quel autre site de publier un lien sur une de ses pages vers une URL d'invitation. Et du coup cette autre page sur cet autre site sera indexée avec ce lien pour contenu.

Le problème est qu'on va trouver les informations en cherchant "bidule site:chat.whatsapp.com". Donc oui, c'est bien un problème de robots.txt.

Je pense de plus que parfois l'indexation part de mails Gmail (à vérifier), donc pas de page purement publique.

Il n'est plus possible de commenter cette actualité.
Page 1 / 2