[Enquête Numerama] Google, Bing et d'autres moteurs de recherche indexent des liens d'invitation publique de la messagerie chiffrée WhatsApp, qui permettent à n'importe qui de rejoindre de nombreuses conversations et d'avoir ainsi accès à des milliers de numéros de téléphone. Numerama a pu retrouver l'identité de plusieurs personnalités publiques.

Mise à jour du 24 février : À la suite de la publication de notre article, nous avons constaté que Google n’indexait plus, depuis le 22 février 2020, les liens publics des conversations WhatsApp de groupe. Qwant et Bing continuent en revanche de le faire, ce qui rend la découverte et l’identification de numéros de téléphone français encore très largement faisable.

Article original du 21 février 2020 :

Ce sont des centaines de numéros de téléphones portables français qui défilent, les uns à la suite des autres.

La militante féministe Caroline de Haas, le secrétaire national du parti Europe Écologie Les Verts Julien Bayou, un assistant parlementaire d’Europe Écologie-Les Verts au Parlement européen, un membre de la campagne LREM pour le dixième arrondissement de Paris… Nous avons, en quelques minutes, pu retrouver leur identité et leur numéro de téléphone, et ce, sans le moindre piratage.

Ces numéros sont accessibles par une simple recherche sur un moteur de recherche (Google, Qwant, Bing) — et ce ne sont pas les seuls. Les moteurs de recherche indexent, depuis au moins plusieurs mois, des conversations WhatsApp publiques, sans que les utilisateurs de la messagerie chiffrée n’en aient forcément conscience.

Pourquoi ces numéros sont-ils accessibles si facilement ?

Ce vendredi 21 février 2020, le site américain Vice a publié un premier article mettant au jour cet étrange fonctionnement, après un signalement d’un journaliste allemand de Deutsche Welle sur Twitter. En quelques recherches Google, les journalistes ont réussi à accéder à des conversations groupées WhatsApp sensibles, et donc d’obtenir des centaines de numéros de téléphone en clair. Numerama a donc fait le test, qui s’est avéré concluant.

Nous avons effectué des recherches Google avec l’URL correspondant au Chat WhatsApp, précédées de différents mots-clés. Nous avons réussi, en quelques clics, à rejoindre plusieurs conversations de groupes. Si celles-ci ne sont pas toutes actives — et nous n’avons pas accès aux messages qui précèdent notre arrivée dans le groupe — l’entièreté des numéros de téléphone des personnes qui en font partie est accessible publiquement. Ces données, déjà sensibles en soi, peuvent donc être aisément récupérées.

Mais le problème est encore plus important, car il est possible d’identifier facilement certains membres en fonction de leur photo de profil. Au moins une centaine de personnes présentes dans une conversation concernant le parti Europe Écologie-Les Verts en Île-de-France, par exemple, ont configuré leur photo de profil sur WhatsApp. Il suffit donc de cliquer sur leur profil, enregistrer la photo et effectuer une recherche image inversée sur Google pour obtenir un résultat probant sur leur nom et prénom — si tant est que la même photo ait été utilisée sur d’autres sites internet (un compte Twitter, un profil Linkedin).

C’est de cette manière que nous avons pu associer en quelques minutes le nom d’un assistant parlementaire d’EELV au Parlement européen à son numéro de téléphone, qui n’est pourtant pas public. Même chose pour ce membre de l’équipe de campagne LREM aux municipales pour le dixième arrondissement de Paris. De même, le numéro de téléphone de la militante féministe Caroline de Haas est accessible dans une conversation WhatsApp dont le lien a été rendu public.

Mais cette démarche pourrait très bien être utilisée pour des anonymes. Outre les résultats de recherches liées à des partis politiques, de nombreuses conversations WhatsApp au lien public, indexées par Google, contiennent des informations sensibles ou concernent des partages d’images à caractère pornographique. Les photos de profil et numéro de téléphone des personnes (personnalités connues ou anonymes) qui en font partie, sont toutes accessibles.

Facebook est au courant depuis novembre 2019

Selon l’experte Jane Wong, il pourrait s’agir d’une mauvaise configuration de WhatsApp, qui a permis à « environ 470 000 invitations de groupe » (le nombre de résultats obtenus avec une recherche) d’être indexées par Google alors qu’ils n’auraient dû l’être.

Ces liens sont générés lorsque, dans une conversation de groupe, un administrateur clique sur l’option « Inviter à intégrer le groupe via à lien ». Une fenêtre s’ouvre alors, qui génère ce lien, suivi de la mention « Toute personne ayant WhatsApp peut utiliser ce lien pour intégrer ce groupe. Partagez-le seulement avec les personnes en qui vous avez confiance. » Ce lien devient donc techniquement public — mais il est peu probable que les utilisateurs aient conscience qu’ils sont, par la même occasion, indexables et indexés par des moteurs de recherche.

C’est également via cette fenêtre que n’importe quel administrateur peut faire cesser le partage public de ce lien en particulier en cliquant sur « Réinitialiser le lien », ce qui génère un autre lien. « En réinitialisant ce lien, personne ne pourra l’utiliser pour intégrer ce groupe », prévient WhatsApp. Il n’est pas certain que Google ou Bing ne ré-indexeront pas ce nouveau lien, mais la mesure peut servir, à minima, d’acte de prévention.

L’indexation de ces liens publics est d’autant plus surprenante qu’il semble que Facebook, propriétaire de la messagerie chiffrée WhatsApp, est au courant depuis au moins novembre 2019. Vijju, un chercheur en cybersécurité indien avec qui Numerama a pu échanger, a diffusé une réponse de Facebook datant du 12 novembre dernier, dans laquelle un membre de l’équipe de la multinationale lui affirme qu’il ne s’agit pas d’une « faille » à proprement parler, car il s’agit de liens publics, car « accessibles de tous » et qu’il s’agit d’une « décision intentionnelle » de WhatsApp. Il reconnaît toutefois « un fait surprenant : le fait que Google indexe ces liens ». « Nous ne pouvons pas contrôler, malheureusement, tout ce que font les moteurs de recherche comme Google et les autres, choisissent d’indexer. C’est pour cette raison que nous ne vous donnerons pas de prime lorsqu’il s’agit d’une indexation par des moteurs de recherche. »

Nous avons testé le même type de recherches sur Qwant, le moteur français : nous n’avons pas trouvé les mêmes liens vers les mêmes groupes WhatsApp, mais il y avait bien des liens : nous avons tout de même pu accéder à de nombreuses conversations de groupes, ainsi que les numéros de téléphone de leurs membres. Lorsque l’on effectue la recherche sur Bing, on trouve aussi plus de 697 000 résultats qui mènent vers des liens publics de conversation WhatsApp.

Google a pris connaissance de nos questions concernant cette indexation — nous mettrons à jour cet article en cas de communication officielle sur le sujet.

Nous avons également contacté récemment la CNIL et Facebook sur le sujet ; notre mail datant de vendredi soir, cet article sera également mis à jour en cas de retour dans les prochains jours.

Article publié initialement le 21 février 2020

Partager sur les réseaux sociaux Tweeter Partager Partager Partager redditer

La suite en vidéo