Les liens de conversations WhatsApp sont indexés par les moteurs de recherche qui peuvent donc permettre d’accéder à une conversation et d’identifier ses participants ainsi que leurs numéros de téléphone.
Sur WhatsApp, il est possible d’inviter une personne en particulier à une conversation de groupe, mais on peut également créer des groupes de discussion publics. L’avantage de ces groupes est qu’il suffit de partager le lien de la discussion à ses contacts pour qu’ils puissent le rejoindre. Le problème, c’est que ces groupes publics laissent entrevoir le numéro de téléphone… et sont indexés par les moteurs de recherche.
Le site américain Vice a en effet découvert ce vendredi qu’il était particulièrement simple de rentrer dans un groupe WhatsApp simplement à l’aide d’une recherche sur un moteur comme Google. En tapant l’URL de la recherche ainsi que certains termes intégrés au nom du groupe, on peut ainsi le joindre très simplement, puis découvrir la liste de tous les participants. Au total, ce sont ainsi « environ 470 000 invitations de groupe » qui sont disponibles sur Google.
Nos collègues de Numerama sont allés un peu plus loin dans une enquête publiée ce vendredi et ont ainsi pu accéder à des groupes WhatsApp liés par exemple au parti Europe Écologie-Les Verts. Une fois le groupe rejoint, on ne peut pas accéder aux messages antérieurs, mais seulement à ceux qui seront postés après avoir rejoint le groupe. Cependant, on peut néanmoins découvrir tous les participants à la conversation. Comme le précise Numerama, leur nom n’est pas indiqué en clair, puisque seul le numéro de téléphone est affiché si la personne n’est pas présente dans vos propres contacts.
Des numéros de téléphone facilement identifiables
Néanmoins, beaucoup d’utilisateurs ont paramétré leur image de profil avec une photo d’eux-mêmes. « Il suffit donc de cliquer sur leur profil, enregistrer la photo et effectuer une recherche image inversée sur Google pour obtenir un résultat probant sur leur nom et prénom », indique ainsi Numerama. On peut alors facilement lier le numéro de téléphone de la personne à son identité. Ainsi, nos collègues ont découvert le nom d’un assistant parlementaire d’EELV au Parlement européen, un membre de l’équipe de campagne de LREM pour le Xe arrondissement de Paris, ou le numéro de téléphone de la militante Caroline de Haas.
Cette faille semble présente sur WhatsApp depuis au moins novembre 2019 et est liée au caractère ouvert de ces conversations WhatsApp pour lesquelles un lien de partage a été créé. Le lien existant au sein même des serveurs de l’application, et n’ayant pas été configuré pour ne pas être scrollé par les robots des moteurs de recherche, il peut donc être référencé sur Google. Interrogé par Vice, un porte-parole de WhatsApp a ainsi indiqué que ce comportement de l’application était normal : « les administrateurs de groupes WhatsApp peuvent inviter n’importe quel utilisateur à rejoindre ce groupe en partageant le lien qu’ils ont généré. Comme tous les contenus qui sont partagés dans des chaînes publiques, les liens d’invitation qui sont postés publiquement sur Internet peuvent être trouvés par d’autres utilisateurs de WhatsApp ».
Il reste cependant possible de fermer l’accès à ces groupes de discussion si on le souhaite. Pour ce faire, il faut que l’administrateur du groupe choisisse de réinitialiser le lien, ce qui en créera un autre, le précédent devenant ainsi inutile.