Creative Commons - Pixabay
Rejoindre un groupe de discussion privé sans y être invité serait simple comme un jeu d’enfant sur WhatsApp. Voilà de quoi remettre sérieusement en question la sécurité tant promise par l’application, filiale de Facebook. « Développeuse, Jane Manchun Wong est connue pour découvrir les dessous des applications. Il y a peu, grâce à sa maîtrise du reverse-engineering, elle a mis au jour une fonctionnalité cachée d’Instagram. Aujourd’hui, elle a simplement effectué une recherche dans l’outil de navigation de Google pour s’apercevoir d’une faille d’ampleur de WhatsApp. Elle n’a eu qu’à rechercher “site:chat.whatsapp.com” pour exclure tout résultat dont l’URL ne comportait pas cette base d’adresse spécifique. Cette dernière est normalement réservée aux liens privés d’invitation à une discussion WhatsApp. Google en indexe ouvertement près de 500 000 ! » nous apprend Le Journal du Geek.
L’expérience a été réalisée par d’autres personnes, avec les mêmes résultats. L’équipe spécialisée sur la technologie de Vice a ainsi rapporté qu’elle avait eu accès à un groupe utilisé par des ONG accréditées par l’ONU. « En fouillant dans les informations du groupe de discussion, les journalistes de Motherboardont ainsi pu avoir accès aux identités et aux numéros de téléphone de 48 membres. De plus, même les méthodes de sécurisation supplémentaire de WhatsApp ne fonctionneraient pas. Si un lien d’invitation à un groupe est compromis, un administrateur de ce dernier a la possibilité d’en générer un nouveau. Néanmoins, le précédent ne serait pas rendu caduque et resterait indexé par Google » appuie Le Journal du Geek.
Google s’est empressé de rapporter que si ces données étaient listées par son moteur de recherche c’est bien parce qu’elles étaient présentes dans des pages ouvertes au public. « Comme tout contenu partagé ouvertement sur le web, il peut être découvert par d’autres utilisateurs. Les liens que les utilisateurs souhaiteraient rester privés et uniquement accessibles à des personnes de confiance ne devraient pas être partagés sur des sites web ouverts à tous » a répondu un porte-parole de WhatsApp.
L’expérience a été réalisée par d’autres personnes, avec les mêmes résultats. L’équipe spécialisée sur la technologie de Vice a ainsi rapporté qu’elle avait eu accès à un groupe utilisé par des ONG accréditées par l’ONU. « En fouillant dans les informations du groupe de discussion, les journalistes de Motherboardont ainsi pu avoir accès aux identités et aux numéros de téléphone de 48 membres. De plus, même les méthodes de sécurisation supplémentaire de WhatsApp ne fonctionneraient pas. Si un lien d’invitation à un groupe est compromis, un administrateur de ce dernier a la possibilité d’en générer un nouveau. Néanmoins, le précédent ne serait pas rendu caduque et resterait indexé par Google » appuie Le Journal du Geek.
Google s’est empressé de rapporter que si ces données étaient listées par son moteur de recherche c’est bien parce qu’elles étaient présentes dans des pages ouvertes au public. « Comme tout contenu partagé ouvertement sur le web, il peut être découvert par d’autres utilisateurs. Les liens que les utilisateurs souhaiteraient rester privés et uniquement accessibles à des personnes de confiance ne devraient pas être partagés sur des sites web ouverts à tous » a répondu un porte-parole de WhatsApp.