Actualité web & High tech sur Usine Digitale

Recevez chaque jour toute l'actualité du numérique

x

Google ferme son réseau social Google+ après une faille ayant exposé des données personnelles pendant trois ans

Twitter Facebook Linkedin Google + Email
×

Vu ailleurs C'en est fini de Google+. Ce réseau social, lancé en 2011 en réponse au succès de Facebook, sera définitivement clôturé au cours des dix prochains mois. L'annonce de cette fermeture fait suite à un article du Wall Street Journal qui révèle que Google+ a possédé entre 2015 et mars 2018 une vulnérabilité qui exposait les données personnelles de ses utilisateurs. Facteur agravant, les dirigeants de l'entreprise avaient choisi de ne pas en informer leurs utilisateurs.

Google ferme son réseau social Google+ après une faille ayant exposé des données personnelles pendant trois ans
Sundar Pichai, le PDG de Google, vu ici lors de la conférence Google I/O en 2014. © Maurizio Pesce - CC BY 2.0 - Flickr

Google a annoncé lundi 8 octobre qu’il va fermer son réseau social Google+ dans les dix mois, sept ans après son lancement en fanfare comme rival de Facebook. Si cette tentative de capter le marché des réseaux sociaux fut un échec cuisant, elle n’est pas la raison de cet arrêt du service. Il fait suite à un article du Wall Street Journal qui a révélé qu’une faille de sécurité sur Google+ a exposé pendant trois ans, de 2015 à mars 2018, les données de centaines de milliers d’utilisateurs à des applications qui n’étaient pas censées y avoir accès.

 

Pire encore : les dirigeants de Google, et notamment son CEO Sundar Pichai, ont choisi de ne pas divulguer cette vulnérabilité au public après l’avoir découverte. Ils voulaient ainsi éviter d’attirer l’attention des régulateurs et de ternir la réputation de l’entreprise, en particulier après les scandales qui ont frappé Facebook.

 

Les clients payants aussi touchés

La faille en question était le fruit d’un bug dans une API qui permettait aux développeurs tiers d’avoir accès aux informations privées du réseau de relations de chaque personne utilisant leur service. En résumé, si une personne A donnait accès à son profil à un service, ce dernier pouvait récupérer les données de tous ses contacts proches, même si ceux-ci ni donnaient accès à personne.

 

Les données concernées sont le nom complet, les adresses emails, la date de naissance, le sexe, les photos de profil, la localisation, le statut professionnel et marital. Elles n’incluaient pas les numéros de téléphone, ni le contenu des emails ou des messages privés.
On trouve parmi les comptes affectés des utilisateurs professionnels (entreprises, écoles, organismes publics) de la suite bureautique payante G-Suite (Google Docs, Google Drive…).

 

Google a échappé de peu au RGPD

Pour justifier sa décision de ne pas informer le public, Google affirme qu’il aurait du mal à identifier les utilisateurs concernés, qu’il n’a pas de preuve que ces informations aient été utilisées à tort (mais ne peut pas le savoir avec certitude) et que ni les utilisateurs ni les développeurs n’auraient pu faire grand-chose pour remédier au problème.

 

Les lois fédérales américaines n’obligent pas une entreprise à divulguer ce genre d’incident. Le règlement général sur la protection des données (RGPD) le fait dans l’Union européenne, mais il est rentré en vigueur en mai, et la faille a été découvert en mars, ce qui a permis à Google de l’ignorer sans craindre d’amende.

 

La sécurité d'Android et de Gmail va aussi être renforcée

La clôture de Google+ fait partie d’un ensemble plus général de mesures de sécurité, Google ayant déterminé que plusieurs de ses produits ont besoin d’un contrôle renforcé. L’entreprise va notamment réduire l’accès des développeurs tiers aux données des utilisateurs de Gmail et de son système d’exploitation Android (qui équipe tous les smartphones sauf ceux d’Apple). Seul un nombre restreint de développeurs pourra désormais proposer des add-ons pour Gmail, et les APIs d’Android ne donneront plus accès au contenu des SMS, à la liste des appels, ni aux contacts du téléphone.

 

Ces mesures sont le fruit du travail d’une taskforce baptisée "Project Strobe", composée d’une centaine d’ingénieurs et chargée d’auditer toutes les APIs de l’entreprise. C’est aussi elle qui a découvert la faille dans Google+ en mars dernier. Google estime que 438 applications ont pu avoir accès à ces données, mais n’est pas en mesure de savoir si des utilisations abusives ont eu lieu ou pas. Le WSJ révèle que l’entreprise n’a pas pris la peine de contacter les développeurs concernés.

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.

 
media
Suivez-nous Suivre l'Usine Digitale sur twitter Suivre l'Usine Digitale sur facebook Suivre l'Usine Digitale sur Linked In RSS Usine Digitale