Partager:
Même Google peut se faire avoir ! Peu habitué aux failles de sécurité, le géant du web, de la recherche et du mobile a cependant reconnu un problème qui a permis à des pirates d'accéder à quelques données personnelles d'utilisateurs de son réseau social, Google+. L'affaire est rendue publique seulement maintenant car le groupe a eu du mal à identifier la faille et les victimes.
Tout a commencé en mars, lors d'un audit de sécurité interne de Google+. Le groupe de Mountain View (Californie) a découvert une faille qu'il a "immédiatement" colmatée. Il en ressort (résumé sur cette publication officielle de la marque, en anglais), que le nom des propriétaires de 500.000 comptes, leur adresse électronique, leur profession, leur sexe et leur âge sont les principales données auxquelles des parties tierces auraient pu avoir accès, explique Google dans un post de blog. Mais rien ne semble certain.
"Notre département en charge de la protection des données et de la vie privée a analysé le problème en question en examinant le type de données impliquées, s’il était possible pour nous d'identifier précisément les utilisateurs pour les en informer, s’il y avait une possible utilisation frauduleuse et si des actions correctives pouvaient être entreprises par un développeur ou un utilisateur. Aucun de ces éléments n'a pu être retenu", nous a expliqué Michiel Sallaets, porte-parole de Google.
438 applications auraient pu profiter de cette faille
Des données postées par les utilisateurs, comme des messages, des informations sur le compte Google ou des numéros de téléphone, n'ont pu être vues ni consultées, ajoute Google, avançant toutefois qu'il ne pouvait identifier avec certitude les utilisateurs touchés par la faille, ni leur localisation.
Jusqu'à 438 applications auraient pu profiter de cette faille informatique, qui a existé de 2015 à début mars 2018.
Les développeurs d'applications n'étaient pas au courant de la faille, affirme encore l'entreprise, et ne se seraient donc pas servis des données exposées: "Nous n'avons pas trouvé de preuve montrant que les données ont été employées de façon inappropriée".
Plusieurs millions d'utilisateurs sur Google +
Google ne dit pas si cette faille de sécurité est due à un piratage informatique et ne donne pas non plus les raisons pour lesquelles il a attendu plusieurs mois pour rendre publique cette information.
D'après le Wall Street Journal, les dirigeants du groupe craignaient d'attirer l'attention des régulateurs et redoutaient un traitement identique à celui réservé à Facebook suite au scandale Cambridge Analytica. Cette société britannique est accusée d'avoir collecté et exploité sans leur consentement les données personnelles d'utilisateurs du réseau social américain, à des fins politiques.
"A chaque fois que des données d'un utilisateur sont affectées, nous faisons plus que ce que nous demande la loi et appliquons plusieurs critères pour déterminer si nous devons le notifier", poursuit le porte-parole de Google.
En l'espèce, les raisons ayant motivé le silence de l'entreprise sont la nature des informations dévoilées, l'absence d'utilisation inappropriée des données exposées et le fait qu'il n'était pas possible de déterminer avec précision quels utilisateurs informer, affirme le groupe.
Google+, qui revendique des millions d'utilisateurs, est principalement utilisé par des professionnels s'intéressant à des sujets bien spécifiques et pouvant consulter les mises à jour de leurs contacts via des "cercles".
Ces derniers sont en fait des groupes de contacts créés par l'utilisateur selon les critères de son choix --intérêts, catégories de clients, relations...-- et au sein desquels il est possible de décider du contenu qui sera partagé.
Il est aussi possible de créer des communautés au sein desquelles les participants peuvent échanger, dialoguer et partager de l'information sur des thématiques précises, tandis que le système de dialogue vidéo (Google Hangout) permet de tenir des téléconférences.
L'arrêt de Google+ pour le grand public
Disponible en version web et sur application mobile, Google+, qui voulait concurrencer Facebook, a été adopté très vite par les entreprises, mais Google affirme avoir constaté une grande inactivité chez les particuliers, ce qui va entraîner l'arrêt de cette version pour le grand public.
"L'analyse a mis en avant des défis importants que pose la création et le maintien d’un service tel que Google+ - qui soit performant et qui puisse répondre aux attentes des utilisateurs. Compte tenu de ces défis et de la très faible utilisation de la version grand public de Google+, nous avons décidé de mettre fin à la version grand public de Google+", nous a expliqué le porte-parole pour le Benelux.
Le géant de l'internet veut donc tourner très vite cette page embarrassante de la faille, avec de nouvelles mesures pour permettre aux utilisateurs d'avoir un meilleur contrôle de leurs données.
Une requête pour donner accès aux services
Les développeurs d'applications n'auront plus accès aux données liées aux messages SMS envoyés ou reçus par les téléphones fonctionnant sous le système d'exploitation Android, aux appels entrants, et verront leur accès au carnet d'adresses des utilisateurs limité.
Un utilisateur recevra en outre désormais une requête individuelle pour donner accès aux données des différents services Google auxquels il a recours. Il pourrait par exemple choisir d'autoriser l'accès aux informations contenues dans son calendrier et refuser l'utilisation de celles stockées dans gmail.
Ces mesures sont effectives, selon Google, ce mois-ci pour les nouveaux utilisateurs et début 2019 pour les anciens.
