Google+ : l’aventure se termine sur une faille de sécurité, retour en chiffres sur un échec

Google+ : l’aventure se termine sur une faille de sécurité, retour en chiffres sur un échec

Une vulnérabilité dans le réseau social Google+ a exposé les données personnelles d’un maximum de 500.000 personnes utilisant le service entre 2015 et mars 2018, vient de reconnaître le géant américain. Google assure n’avoir trouvé aucune preuve d’utilisation abusive des données. Néanmoins, Google+ fermera définitivement d’ici 10 mois.

L’information a initialement été dévoilée par le Wall Street Journal selon lequel Google n’a pas révélé l’existence de cette vulnérabilité lorsqu’elle a été corrigée en mars par crainte d’attirer l’attention des autorités alors que Facebook était dans la tourmente avec le scandale Cambridge Analytica. Toujours selon le Wall Street Journal, Sundar Pichai, P-dg de Google, n’a été informé de la décision de ne pas divulguer l’information qu’après qu’un comité interne en ait décidé ainsi.

438 applications sur Google+ avaient accès à cette API

Google explique avoir trouvé le bug dans le cadre d’un examen interne appelé Project Strobe, un audit commencé plus tôt cette année qui examine l’accès aux données des utilisateurs des comptes Google par des applications tierces. Ce bug permettait aux applications d’accéder à des informations privées sur le profil Google+ d’une personne : adresses électroniques, sexe, âge, images, emploi… Jusqu’à 438 applications sur Google+ avaient accès à cette API, bien que Google ait déclaré qu’il n’avait aucune preuve que les développeurs étaient conscients de la vulnérabilité.

« L’examen a mis en évidence les défis importants dans la création et la maintenance d’un Google+ réussi qui réponde aux attentes des consommateurs » admet Ben Smith, vice-président de l’ingénierie. « Compte tenu de ces défis et de la très faible utilisation de la version grand public de Google+, nous avons décidé de supprimer la version grand public de Google+ », annonce-t-il dans le billet de blog.

Les entreprises de la Silicon Valley sont de plus en plus scrutées à la loupe pour leurs pratiques de collecte de données. Facebook s’est retrouvé en première ligne en mars dernier avec le scandale Cambridge Analytica, du nom de cette société de conseil basée au Royaume-Uni qui a recueilli des données sur 87 millions d’utilisateurs de Facebook sans leur consentement.

Google n’a pas été épargné non plus. En juillet, l’entreprise a été critiquée après avoir admis que les employés d’une application de messagerie tierce pouvaient lire nos courriels si nous intégrions ces applications à notre compte Gmail. La firme de Mountain View a été de nouveau épinglée un mois plus tard, lorsqu’Associated Press a révélé que l’entreprise suivait l’emplacement des utilisateurs, même après qu’ils aient désactivé l’historique des positions sur leur téléphone.

Le mois dernier, Keith Enright, directeur de la protection de la vie privée de Google a témoigné devant le Sénat sur les pratiques de la Silicon Valley en matière de confidentialité aux côtés de représentants d’autres géants de la technologie et des télécommunications, dont Apple, Amazon et AT&T. Sundar Pichai, P-dg de Google, sera auditionné par le Congrès après les élections de mi-mandat aux États-Unis en novembre.

90% des sessions Google+ durent moins de 5 secondes

Google+ a été lancé en 2011 comme une réponse à Facebook. Mais le réseau social n’a jamais suscité une adhésion massive du public. Google a fini par le dépouiller de ses fonctionnalités les plus populaires, les chats Hangout et la photo, pour en faire des applications indépendantes. Dans son billet de blog, la firme de Mountain View reconnaît qu’actuellement, 90% des sessions Google+ durent moins de 5 secondes. Conséquence, le réseau social fermera définitivement dans 10 mois, le temps de permettre aux usagers de migrer leurs données.

Le bug divulgué lundi s’est produit par l’intermédiaire de l’une des API Google+ mises à la disposition des développeurs d’applications tierces. Ces derniers n’étaient pas censés avoir accès aux informations privées du profil utilisateur. L’API a été conçue pour ne conserver un historique des connexions que sur deux semaines. Même en si peu de temps, l’audit de Google a révélé que près d’un demi-million de comptes Google+ auraient pu être affectés.

L’entreprise a déclaré qu’elle avertissait souvent les utilisateurs lorsqu’il y avait des problèmes et des failles de sécurité et que les données des utilisateurs étaient affectées, mais son bureau de protection de la vie privée et des données a estimé que le bug en question n’avait pas atteint ce seuil.

à lire aussi