Google+ ferme ses portes en raison d’une faille étouffée par Google [màj]

Mickaël Bazoge |

Entre 2015 et mars 2018, des développeurs malintentionnés ont pu accéder en toute discrétion aux profils des abonnés Google+ afin d’en siphonner les données. Le Wall Street Journal explique que ce sont les informations de centaines de milliers d’utilisateurs du réseau social (496 951 précisément…) qui ont été ainsi exposées. Et si ce n’était pas suffisamment grave, Google aurait sciemment décidé de ne rien dire lors de la découverte de cette faille, au printemps.

Le moteur de recherche aurait tout simplement étouffé l’affaire en partie par peur de s’attirer les foudres des régulateurs et pour ne pas entacher sa réputation… La vulnérabilité, découverte en mars, a été corrigée rapidement mais révéler l’histoire aurait été une catastrophe : à l’époque, tous les yeux étaient braqués sur Facebook et le scandale Cambridge Analytica.

La décision de laisser couler a été prise au plus haut niveau : le service juridique de Google a conseillé à Sundar Pichai, le CEO de l’entreprise, de ne rien dire. D’après un porte-parole du moteur de recherche, rien ne montre que des développeurs tiers aient pu tirer profit de cette faille qui touche une API de Google+ ; néanmoins, il dit aussi qu’il ne peut en être sûr et certain, ce qui n’est guère rassurant.

438 applications auraient pu avoir un accès non autorisé aux données des utilisateurs. Plus embêtant encore, parmi les victimes potentielles se trouvent des abonnés à G Suite, la suite d’outils orientés pro utilisée surtout dans les entreprises et dans le secteur de l’éducation.

L’interface de Google+ a été rafraîchie en janvier 2017.

Parmi les informations qui ont pu tomber dans l’escarcelle des malandrins, se trouvent les noms au complet, les adresses e-mail, les dates de naissance et genre, les photos de profils, l’adresse postale, l’emploi occupé, les statuts postés, les messages directs. En gros, la totalité ou presque des données mais Google n’est pas en mesure de le déterminer : la société ne conserve qu’un jeu limité des logs d’activité.

Google a décidé de fermer purement et simplement les fonctions grand public de son réseau social, ce qui équivaut à lui donner la mort. Certes, Google+ avait pris l’allure ces dernières années d’une ville fantôme et sa disparition ne sera pas une grande perte. Reste le problème épineux des données dans la nature.

En contre-feu, l’entreprise devrait annoncer son intention de mieux protéger les données de ses utilisateurs. Ces derniers mois, le projet Strobe (une équipe d’une centaine d’ingénieurs, de directeurs produit et d’avocats) mène des audits internes afin de nettoyer la jungle des API et restreindre leur accès par les développeurs.

Voilà en tout cas qui tombe bien mal alors que Google doit présenter demain mardi un gros paquet de nouveautés matérielles.

Mise à jour — Dans un billet paru sur son blog, Google confirme la découverte d’une faille de sécurité dans une API de Google+ en mars de cette année, qui a été bouchée dans la foulée. Cette vulnérabilité, le fait que les sessions de 90% des utilisateurs de Google+ durent moins de 5 secondes et la volonté de faire le ménage dans les API poussent le moteur de recherche à fermer son réseau social au grand public.

L’entreprise écrit n’avoir trouvé aucune preuve qu’un développeur ait été au courant de cette vulnérabilité, et aucune preuve que des données aient été subtilisées.

Dans le cadre du projet Strobe, Google va aussi ajouter plus de granularité aux permissions données aux applications. L’utilisateur devra valider chaque autorisation d’accès, plutôt que de valider « par lot ».

Les nouvelles demandes d’autorisation.
avatar Crunch Crunch | 

Superbe.
J'adoooooooore Google 🤮

Mais bon, les smartphones Android sont pas cher 😍🤮🤮🤮

avatar Ali Ibn Bachir Le Gros | 

Il y a des smartphones Android assez chers. Je ne sais pas trop si ça a quelque chose à voir avec G+ cependant.

avatar Rodri31 | 

"Google aurait sciemment décidé de ne rien dire lors de la découverte de cette faille, au printemps."

Génial 😱🙄

avatar clt92 | 

La plus grosse info dans cette news c'est qu'il y avait au mois "496 951" utilisateurs de G+ ... 😈

avatar Lucas | 

« Mé gé rien à cacher c pa mon problème ! »

avatar J'en_crois Pas_mes yeux | 

@Lucas Merci à toi : j'adore

avatar Dwigt | 

Les données de 500 000 comptes G+ dans la nature ? Fichtre, ça doit faire 300 000 faux profils pour sites de rencontre créés par des scammers ivoiriens dans la nature…

avatar ric_anto | 

Pour les utilisateurs pro clients de G Suite, G+ est encore pasmal utilisé en interne (comme Yammer pour les clients pros d'Office 365)
Du coup le chiffre de 500k utilisateurs ne me paraît pas "si" important.

avatar fousfous | 

Et après on s'étonne qu'ils échappent à toutes les affaires...

avatar Alberto8 | 

Ils copies Apple la dessus aussi 🤭😝 .

avatar vlsf1 | 

J’ai toujours été étonné que les gens soient très méfiants envers Facebook et très peu envers Google.

Peut-être parce que sur Facebook on met des choses très personnelles (photos de vacances, opinions...), mais Google connaît des choses largement plus faciles à vendre (ce qu’on cherche, où on va avec Google Maps et Waze, ce qu’on regarde sur YouTube, et je parle meme pas d’Android...). Facebook aussi peut nous tracer, mais on lui donne directement largement moins d’infos.

Bref cette histoire va faire un mal fou à Google. J’espère qu’on en parlera plus qu’une pseudo obsolescence programmée chez Apple...

avatar marenostrum | 

ils ne vendent pas les données mais ils les utilisent pour en vendre de la pub ciblée. tout simplement ils trouvent des clients pour ceux qui ont des produits à vendre. les données sont confidentielles. ils les donnent à personne. eux ils essayent de savoir tes besoins ou préférences commerciales. ce qui te manque ou que tu le cherche. et c'est tout.

la plupart des gens qui commentent ici ne connaissent rien du tout en informatique. ni comment ça fonctionne.

avatar vlsf1 | 

@marenostrum

C’est la même chose pour Facebook.

Sauf que là on voit qu’ils ne savent pas protéger ces données. Et qu’ils sont prêts à cacher cette défaillance.

avatar marenostrum | 

Facebook est different. Google c'est plus utile pour les gens. c'est un Outil. sans google l'internet ça sert à rien.

avatar vlsf1 | 

@marenostrum

D’où la différence de perception...

avatar occam | 

@marenostrum

"sans google l'internet ça sert à rien."

À rien ?
https://alternativeto.net/list/818/how-to-live-without-google

avatar marenostrum | 

les autres ont la même formule économique que Google (pourquoi et comment ils peuvent être mieux ?). sans argent rien marche en informatique. il faut du matos, + code, et de l'électricité. quelqu'un doit les payer.
y a rien de gratuit.

avatar occam | 

@marenostrum

"y a rien de gratuit. "

There is no such thing as a free lunch.
Merci de redécouvrir la thermodynamique et la 4e loi de Barry Commoner.

Maintenant que le problème est énoncé d’une manière un petit peu plus utile (un peu d’étoffe et de nuance n’a jamais fait de mal à personne), on peut rentrer dans le vif du sujet : les coûts réels de la gratuité apparente, et les leviers du piège à cons.

avatar FollowThisCar | 

@ occam

Merci pour le lien, vais voir çà d'un peu plus près ...

avatar Lucas | 

@marenostrum

Marenostrum 21h20 : « la plupart des gens qui commentent ici ne connaissent rien du tout en informatique. ni comment ça fonctionne. « 

21h25 : « sans google l'internet ça sert à rien. »

AHAHAHAHHAHAH
L’éradication de Google ne serait qu’une très bonne nouvelle pour internet ET l’humanité ;)

Sinon on peut se débrouiller pour développer des alternatives à chaque fonction proposée par Google et ses tentacules :

=> www.degooglisons-internet.org

avatar marenostrum | 

j'ai d'autre chose à faire dans ma vie que passer mon temps me protéger de google. les autres que tu vas utiliser gratuitement sont pareil que google mais étant plus pauvres sont encore plus mesquins. eux ils vendent probablement tes données aux tiers. parce que ils n'ont pas la capacité (financière, le savoir-faire ou autres) de les exploiter eux-mêmes.

avatar Lucas | 

@marenostrum

Sauf que ton affirmation « sans google l'internet ça sert à rien. » est purement mensongère et/ou démontre une ignorance totale de la réalité d’internet.

Par ailleurs, les autres, je les PAYE ou ce sont des logiciels libres auxquels je DONNE annuellement pour soutenir leur développement.
Justement pour ne pas dépendre d’un modèle économique de vente de données et/ou publicité ciblée et soutenir un internet plus libre, horizontal, égalitaire et ouvert.

Et à l’argument de soi-disant on a pas d’argent pour ça, les logiciels libres sont GRATUITS aussi ;) Mais pas du tout la même logique de gratuité...

avatar marenostrum | 

ils sont le meilleur pour la recherche (pour comprendre ma phrase). et moi j'aime le meilleur. pas de temps à perdre.

avatar Lucas | 

@marenostrum

Meilleurs à quel point de vue ? L’illusion peut-être oui, soit parce que les résultats sont hyper ciblés en fonction de la connaissance de toi, mais déjà ça pose question, soit c’est juste une habitude prise et un état de fait dû à un monopole du marché. Mais le principal et unique concurrent européen, Qwant, ne manque jamais de donner la réponse ou le bon lien non plus, sans pour autant siphonner notre vie privée...

avatar marenostrum | 

il faut trouver un mot clé et essayer tous les moteurs. et tu vois direct qui est le plus pertinent. tout dépend aussi ce que tu cherches. mais Google est le meilleur, parce que le plus puissant financièrement que les autres. et l'argent fait la différence tout seul dans la technologie.

et il est partout dans tous les sites, leur code est dans les pages. il est intégré. j'explique plus bas. fait command + option + i, pour le voir sur cette page.

Pages

CONNEXION UTILISATEUR