Les groupes de discussion whatsApp foisonnent et font partie de l'expérience de vie digitale de la plupart des détenteurs de smartphones. Un journaliste vient de découvrir une faille de sécurité dans WhatsApp qui rend tous vos groupes privés potentiellement accessibles par n'importe qui à partir d'internet. Voici comment ça marche et comment sécuriser vos données personnelles.
Le journaliste Jordan Wildon a déclaré sur Twitter qu'il avait découvert que la fonctionnalité "Inviter à intégrer le groupe via un lien" introduisait une faille de sécurité dans WhatsApp dans la mesure où Google indexe systématiquement tous les liens d'invitations aux groupes, y compris mêmes les groupes privés.
En faisant une recherche à partir de mots-clés spécifiques, Google a pu ressortir même des groupes privés (et les résultats comprenaient de nombreux groupes de partage de porno)....
Your WhatsApp groups may not be as secure as you think they are.
— Jordan Wildon (@JordanWildon) February 21, 2020
The "Invite to Group via Link" feature allows groups to be indexed by Google and they are generally available across the internet. With some wildcard search terms you can easily find some… interesting… groups. pic.twitter.com/hbDlyN6g3q
En effet, une fois qu'un nouveau membre rejoint un groupe WhatsApp, il peut accéder aux numéros de téléphones de tous les membres de ce groupe :
"C'est ainsi qu'une fois qu'ils (les pirates) ont pu rejoindre un groupe - qui était destiné aux ONG accréditées par l'ONU - ils ont eu accès à tous les participants et à leurs numéros de téléphone."
Est-ce possible de préserver la confidentialité des groupes privés ?
Difficilement. En effet, l'origine de la faille étant extérieure à WhatsApp, il est difficile à la plateforme d'y remédier en filtrant les liens...Voilà pourquoi WhatsApp stipule clairement :
"Toute personne ayant WhatsApp peut utiliser ce lien pour intégrer ce groupe. Partagez-le seulement avec les personnes avec les personnes en qui vous avez confiance."
Les administrateurs de groupe peuvent utiliser la fonctionnalité "Réinitialiser le lien" vers le groupe de discussion s'ils le souhaitent, mais le journaliste Wildon dit avoir découvert que, même dans ce cas, WhatsApp ne génère qu'un nouveau lien, mais ne désactive pas nécessairement le lien d'origine.
Le problème reste donc entier, d'autant qu'avec l'indexation de ces liens par Google, c'est potentiellement n'importe quel internaute qui pourrait accéder à certains groupes réputés privés. D'où la nécessité pour les administrateurs de groupes de vérifier régulièrement les numéros des membres de leurs groupes réservés.
Afin de veiller malgré tout à la préservation de la confidentialité des membres de vos groupes WhatsApp privés, vous ne devez jamais poster sur des sites web publics tels que Facebook, votre blog, dans des forums, ou dans des commentaires,... consultables par le public des liens.
Car Google indexe par principe, tout lien diffusé et répertorié dans une page web sur un site accessible à tous publics.
Notons que WhatsApp/Facebook a eu à faire face à certaines failles de sécurité importantes au cours de ces dernières années, dont notamment :
- en 2018, le piratage présumé par l'Arabie saoudite, du téléphone du PDG d'Amazon Jeff Bezos grâce à un message whatsApp infecté par un logiciel malveillant.
- Plus récemment, c'était en mai 2019, qu'une vulnérabilité avait été découverte dans l'application, faille qui permettait d'injecter des logiciels espions sur les téléphones Android et iOS via un appel téléphonique notamment.
Ces failles qui étaient inhérentes à l'application elle-même ont pu être corrigées par les développeurs, mais pour cette faille-ci qui est dû à une cause extérieure, en l'occurrence google, il convient de respecter un certain nombre de bonnes pratiques pour réduire les risques de piratages de vos groupes.
Par : Kouadio KOUAMÉ,
Fondateur & directeur de publication - AfroPolitis Média