Google+ ferme ses portes en raison d’une faille étouffée par Google [màj]
Entre 2015 et mars 2018, des développeurs malintentionnés ont pu accéder en toute discrétion aux profils des abonnés Google+ afin d’en siphonner les données. Le Wall Street Journal explique que ce sont les informations de centaines de milliers d’utilisateurs du réseau social (496 951 précisément…) qui ont été ainsi exposées. Et si ce n’était pas suffisamment grave, Google aurait sciemment décidé de ne rien dire lors de la découverte de cette faille, au printemps.
Le moteur de recherche aurait tout simplement étouffé l’affaire en partie par peur de s’attirer les foudres des régulateurs et pour ne pas entacher sa réputation… La vulnérabilité, découverte en mars, a été corrigée rapidement mais révéler l’histoire aurait été une catastrophe : à l’époque, tous les yeux étaient braqués sur Facebook et le scandale Cambridge Analytica.
La décision de laisser couler a été prise au plus haut niveau : le service juridique de Google a conseillé à Sundar Pichai, le CEO de l’entreprise, de ne rien dire. D’après un porte-parole du moteur de recherche, rien ne montre que des développeurs tiers aient pu tirer profit de cette faille qui touche une API de Google+ ; néanmoins, il dit aussi qu’il ne peut en être sûr et certain, ce qui n’est guère rassurant.
438 applications auraient pu avoir un accès non autorisé aux données des utilisateurs. Plus embêtant encore, parmi les victimes potentielles se trouvent des abonnés à G Suite, la suite d’outils orientés pro utilisée surtout dans les entreprises et dans le secteur de l’éducation.
Parmi les informations qui ont pu tomber dans l’escarcelle des malandrins, se trouvent les noms au complet, les adresses e-mail, les dates de naissance et genre, les photos de profils, l’adresse postale, l’emploi occupé, les statuts postés, les messages directs. En gros, la totalité ou presque des données mais Google n’est pas en mesure de le déterminer : la société ne conserve qu’un jeu limité des logs d’activité.
Google a décidé de fermer purement et simplement les fonctions grand public de son réseau social, ce qui équivaut à lui donner la mort. Certes, Google+ avait pris l’allure ces dernières années d’une ville fantôme et sa disparition ne sera pas une grande perte. Reste le problème épineux des données dans la nature.
En contre-feu, l’entreprise devrait annoncer son intention de mieux protéger les données de ses utilisateurs. Ces derniers mois, le projet Strobe (une équipe d’une centaine d’ingénieurs, de directeurs produit et d’avocats) mène des audits internes afin de nettoyer la jungle des API et restreindre leur accès par les développeurs.
Voilà en tout cas qui tombe bien mal alors que Google doit présenter demain mardi un gros paquet de nouveautés matérielles.
Mise à jour — Dans un billet paru sur son blog, Google confirme la découverte d’une faille de sécurité dans une API de Google+ en mars de cette année, qui a été bouchée dans la foulée. Cette vulnérabilité, le fait que les sessions de 90% des utilisateurs de Google+ durent moins de 5 secondes et la volonté de faire le ménage dans les API poussent le moteur de recherche à fermer son réseau social au grand public.
L’entreprise écrit n’avoir trouvé aucune preuve qu’un développeur ait été au courant de cette vulnérabilité, et aucune preuve que des données aient été subtilisées.
Dans le cadre du projet Strobe, Google va aussi ajouter plus de granularité aux permissions données aux applications. L’utilisateur devra valider chaque autorisation d’accès, plutôt que de valider « par lot ».
Superbe.
J'adoooooooore Google ?
Mais bon, les smartphones Android sont pas cher ????
Il y a des smartphones Android assez chers. Je ne sais pas trop si ça a quelque chose à voir avec G+ cependant.
"Google aurait sciemment décidé de ne rien dire lors de la découverte de cette faille, au printemps."
Génial ??
La plus grosse info dans cette news c'est qu'il y avait au mois "496 951" utilisateurs de G+ ... ?
« Mé gé rien à cacher c pa mon problème ! »
@Lucas Merci à toi : j'adore
Les données de 500 000 comptes G+ dans la nature ? Fichtre, ça doit faire 300 000 faux profils pour sites de rencontre créés par des scammers ivoiriens dans la nature…
Pour les utilisateurs pro clients de G Suite, G+ est encore pasmal utilisé en interne (comme Yammer pour les clients pros d'Office 365)
Du coup le chiffre de 500k utilisateurs ne me paraît pas "si" important.
Et après on s'étonne qu'ils échappent à toutes les affaires...
Ils copies Apple la dessus aussi ?? .
J’ai toujours été étonné que les gens soient très méfiants envers Facebook et très peu envers Google.
Peut-être parce que sur Facebook on met des choses très personnelles (photos de vacances, opinions...), mais Google connaît des choses largement plus faciles à vendre (ce qu’on cherche, où on va avec Google Maps et Waze, ce qu’on regarde sur YouTube, et je parle meme pas d’Android...). Facebook aussi peut nous tracer, mais on lui donne directement largement moins d’infos.
Bref cette histoire va faire un mal fou à Google. J’espère qu’on en parlera plus qu’une pseudo obsolescence programmée chez Apple...
ils ne vendent pas les données mais ils les utilisent pour en vendre de la pub ciblée. tout simplement ils trouvent des clients pour ceux qui ont des produits à vendre. les données sont confidentielles. ils les donnent à personne. eux ils essayent de savoir tes besoins ou préférences commerciales. ce qui te manque ou que tu le cherche. et c'est tout.
la plupart des gens qui commentent ici ne connaissent rien du tout en informatique. ni comment ça fonctionne.
@marenostrum
C’est la même chose pour Facebook.
Sauf que là on voit qu’ils ne savent pas protéger ces données. Et qu’ils sont prêts à cacher cette défaillance.
Facebook est different. Google c'est plus utile pour les gens. c'est un Outil. sans google l'internet ça sert à rien.
@marenostrum
D’où la différence de perception...
@marenostrum
"sans google l'internet ça sert à rien."
À rien ?
https://alternativeto.net/list/818/how-to-live-without-google
les autres ont la même formule économique que Google (pourquoi et comment ils peuvent être mieux ?). sans argent rien marche en informatique. il faut du matos, + code, et de l'électricité. quelqu'un doit les payer.
y a rien de gratuit.
@marenostrum
"y a rien de gratuit. "
There is no such thing as a free lunch.
Merci de redécouvrir la thermodynamique et la 4e loi de Barry Commoner.
Maintenant que le problème est énoncé d’une manière un petit peu plus utile (un peu d’étoffe et de nuance n’a jamais fait de mal à personne), on peut rentrer dans le vif du sujet : les coûts réels de la gratuité apparente, et les leviers du piège à cons.
@ occam
Merci pour le lien, vais voir çà d'un peu plus près ...
@marenostrum
Marenostrum 21h20 : « la plupart des gens qui commentent ici ne connaissent rien du tout en informatique. ni comment ça fonctionne. «
21h25 : « sans google l'internet ça sert à rien. »
AHAHAHAHHAHAH
L’éradication de Google ne serait qu’une très bonne nouvelle pour internet ET l’humanité ;)
Sinon on peut se débrouiller pour développer des alternatives à chaque fonction proposée par Google et ses tentacules :
=> www.degooglisons-internet.org
j'ai d'autre chose à faire dans ma vie que passer mon temps me protéger de google. les autres que tu vas utiliser gratuitement sont pareil que google mais étant plus pauvres sont encore plus mesquins. eux ils vendent probablement tes données aux tiers. parce que ils n'ont pas la capacité (financière, le savoir-faire ou autres) de les exploiter eux-mêmes.
@marenostrum
Sauf que ton affirmation « sans google l'internet ça sert à rien. » est purement mensongère et/ou démontre une ignorance totale de la réalité d’internet.
Par ailleurs, les autres, je les PAYE ou ce sont des logiciels libres auxquels je DONNE annuellement pour soutenir leur développement.
Justement pour ne pas dépendre d’un modèle économique de vente de données et/ou publicité ciblée et soutenir un internet plus libre, horizontal, égalitaire et ouvert.
Et à l’argument de soi-disant on a pas d’argent pour ça, les logiciels libres sont GRATUITS aussi ;) Mais pas du tout la même logique de gratuité...
ils sont le meilleur pour la recherche (pour comprendre ma phrase). et moi j'aime le meilleur. pas de temps à perdre.
@marenostrum
Meilleurs à quel point de vue ? L’illusion peut-être oui, soit parce que les résultats sont hyper ciblés en fonction de la connaissance de toi, mais déjà ça pose question, soit c’est juste une habitude prise et un état de fait dû à un monopole du marché. Mais le principal et unique concurrent européen, Qwant, ne manque jamais de donner la réponse ou le bon lien non plus, sans pour autant siphonner notre vie privée...
il faut trouver un mot clé et essayer tous les moteurs. et tu vois direct qui est le plus pertinent. tout dépend aussi ce que tu cherches. mais Google est le meilleur, parce que le plus puissant financièrement que les autres. et l'argent fait la différence tout seul dans la technologie.
et il est partout dans tous les sites, leur code est dans les pages. il est intégré. j'explique plus bas. fait command + option + i, pour le voir sur cette page.
@marenostrum
Et donc rien d’autre que ça n’a d’importance à tes yeux ? Les conséquences n’ont aucun intérêt pour toi ? Tu t’en fous juste ?
@ marenostrum
vivi, mais c'est comme Nestlé, on peut faire sans si on le souhaite. pas grave, on achètera du chocolat moyen à un autre fabriquant, pfiulalala...
@marenostrum
Vive le pognon ! Vive Google ! Les autres ne savent rien ????
T'as un problème d.addiction ?
Ou alors t'aimes bcp le SM.
@Lucas:
j'utilise à peu près tous les moteurs connu de recherche régulièrement... Mon IMac utilise Bing, mon IPad Google search, mon mbp Qwant et DuckDuckGo...
Pour de la petite recherche, tous se valent, quand tu commence à rechercher des trucs ultra précis tu finis immanquablement par avoir besoin de Google Search. Et ce n'est pas une question de profilage que Google ferait, la plupart du temps je navigue en mode privé avec safari.
Bel exemple d’aveuglement Décérébré typique du fanboy de bas étage qu’on croise à longueur de temps ici !
Ne pas reconnaître que Google est meilleur que tout le monde sur la recherche est juste superbe. Je fais une capture écran pour montrer ça à des collègues ?
Oh mais wait !
Y a pas eu une histoire de piratage par un jeune australien il y a un mois ???
Mais là vous la rameniez beaucoup moins !
Et en plus démentie par Apple !
Que vous êtes bêtes sérieux !
@Lucas
> Par ailleurs, les autres, je les PAYE ou ce sont des logiciels libres auxquels je DONNE
> annuellement pour soutenir leur développement.
Cela n'empêche nullement que des failles équivalentes puissent exister dans des services Internet, même payant ou à base de logiciel libre.
Merci de ne pas confondre faille de protection de données privées et exploitation économique sur ces données privées.
Si demain on découvre que iCloud a une faille béante depuis des années, le problème sera le même alors que le modèle économique de Appe ne repose pourtant pas sur l'exploitation économique de vos données (mais sur mise en captivité, par contre...).
Le problème c'est la re-centralisation des données, un concept pourtant à l'opposé de l''idée initiale d'Internet.
surtout que ça arrive de temps en temps comme dernièrement ;)
@Lucas
Certes, mais encore faut-il que ces alternatives soient efficaces. Duck Go Go c'est sympathique mais en terme de pertinence de recherche, c'est pas encore ça...
Pareil pour Peertube/Framatube, qui fait d'avantage penser par son contenu aux débuts de la vidéo sur le net qu'à une véritable alternative à Youtube.
@Laurent S from Nancy
Duck duck Go n’est pas une vraie alternative car ne fait que transmettre les résultats de Bing. Allez tester Qwant plutôt ;)
@marenostrum
Pauvre de toi si tu dépends tant de Google.
@marenostrum
Moi aussi ça m'amuse à chaque fois cette histoire de "vente de données". De toute façon Google sont plutôt clairs dans leur charte à propos de l'utilisation et la protection de tes données perso, et à partir du moment où tu décides d'utiliser leurs services (Gmail, Maps, Youtube, Photos..) tu sais très bien qu'ils garderont une trace de ce que tu fais, on est pas dans le monde des bisounours.
Après ce n'est pas obligatoire d'avoir un compte Gmail ou Chrome...
le fait qu'ils rémunèrent tout le monde on peut pas leurs échapper même en utilisant pas leurs propres services. n'importe quel site qu'on consulte va nous traquer, ils ont le code de Google dans ses pages.
on vient ici, on est traqué par google, parce que ce site l'a dans ses pages, etc. on peut pas se protéger dans l'océan plein de requins. déjà eux ils arrivent pas se protéger, imagine maintenant nous les autres.
pour moi, c'est le jeu à jouer, si on veux utiliser l'informatique.
Salauds d’Apple.
Coupables.
Nous ont même pas prévenus, alors qu’ils savaient, c’est sûr.
Tout bonnement inadmissible.
J’espère que les « responsables » seront jugés et condamnés pour avoir caché sciemment et si longtemps la découverte de cette faille.
Quand on a les moyens de Google on paie des agences de com qui vont aider à faire passer la pilule, même en pleine affaire Cambridge Analytica.
Et ça me fait penser à : quand on veut tuer son chien on dit qu’il a la rage.
Plus qu'à ferme allo et duo qui ne servent à rien
C’est des mythos
Ils ont du trouver une puce chinoise sur leurs serveurs c’est tout..
#parano
#complot
#?
Bref l’argument du Cloud
« Ne vous inquiétez pas, des professionnels s’occupent de vos données » ne vaut pas grand chose
Cela peut donner du grain à moudre aux DSI voulant garder les données un peu sensibles/métier sur des serveurs internes
Le Saas oui mais à condition de pouvoir se permettre de tout « partager »
Par contre ne pas divulguer cette information aux utilisateurs devrait être lourdement sanctionné
C’est sur cela que j’aimerais des suites
La nana qui est montée dans un taxi parce que le chauffeur était «professionnel», c'était saucissonnee dans le coffre, non ?
:-)
Bon "Google +", franchement qui utilisait ce "réseau social" ? Les quelques trucs que j'ai sur mon compte ont été ajouté automatiquement...et je n'ai que 1 abonné :D
@Laurent S from Nancy
Autant dire c’est tout Google.
Donc G-Mail et les mails n'ont pas été touchés, c'est - pour moi - l'essentiel.
Après, si les gens s'amusent à déballer leur vie privée sur G+, FaceBook ou Instagram, faut pas venir se plaindre ensuite, puisque l'objectif est justement de partager ces données privées avec d'autres.
En plus, dès l'installation on décide en connaissance de cause d'autoriser l'app à fouiner ou non, c'est pourquoi je n'ai aucune app de ce genre sur mon mobile, mais seulement des comptes minimalistes sur Mac. Pas de "vie sociale mobile" donc, en tout cas pas de cette espèce, et c'est bien comme çà :)
@FollowThisCar "dès l'installation on décide en connaissance de cause d'autoriser l'app à fouiner ou non"
Certaines demandes d'autorisation sont quand même farfelues (Sur Androïd en tout cas...). Par exemple j'ai une appli (DevCheck) chargée de faire un monitoring complet des capacités de mon téléphone. Pour avoir accès aux spécificités techniques de ma caméra, je dois "autoriser l'application à prendre des photos et des vidéos". C'est tourné de manière assez tordue et même flippante : on s'imagine que le truc va prendre des photos et des vidéos à notre insu alors que ce n'est clairement pas le but.
@Laurent S from Nancy
En effet ! D'ailleurs, c'est en voyant que certaines apps demandaient l'accès au carnet d'adresses et autres infos que j'ai décidé de les virer de mon Androïd. Le fait de ne pas savoir exactement ce qui se trame en coulisse n'est pas très agréable. Au moins sur Mac on peut par ex. retrouver les cookies, suivre les processus, et avoir l'impression qu'on maîtrise un peu la situation.
Mais bon, pour des petits jeunes qui ont 800 followers sur Instagram, l'urgence de communiquer avec des potes est sans doute plus importante que la prudence !
Espérons qu'il soit sévèrement sanctionné pour ne pas avoir prévenu les users.
Ckoi Google + ?
Pages