Google+ ferme ses portes en raison d’une faille étouffée par Google [màj]

Mickaël Bazoge |

Entre 2015 et mars 2018, des développeurs malintentionnés ont pu accéder en toute discrétion aux profils des abonnés Google+ afin d’en siphonner les données. Le Wall Street Journal explique que ce sont les informations de centaines de milliers d’utilisateurs du réseau social (496 951 précisément…) qui ont été ainsi exposées. Et si ce n’était pas suffisamment grave, Google aurait sciemment décidé de ne rien dire lors de la découverte de cette faille, au printemps.

Le moteur de recherche aurait tout simplement étouffé l’affaire en partie par peur de s’attirer les foudres des régulateurs et pour ne pas entacher sa réputation… La vulnérabilité, découverte en mars, a été corrigée rapidement mais révéler l’histoire aurait été une catastrophe : à l’époque, tous les yeux étaient braqués sur Facebook et le scandale Cambridge Analytica.

La décision de laisser couler a été prise au plus haut niveau : le service juridique de Google a conseillé à Sundar Pichai, le CEO de l’entreprise, de ne rien dire. D’après un porte-parole du moteur de recherche, rien ne montre que des développeurs tiers aient pu tirer profit de cette faille qui touche une API de Google+ ; néanmoins, il dit aussi qu’il ne peut en être sûr et certain, ce qui n’est guère rassurant.

438 applications auraient pu avoir un accès non autorisé aux données des utilisateurs. Plus embêtant encore, parmi les victimes potentielles se trouvent des abonnés à G Suite, la suite d’outils orientés pro utilisée surtout dans les entreprises et dans le secteur de l’éducation.

L’interface de Google+ a été rafraîchie en janvier 2017.

Parmi les informations qui ont pu tomber dans l’escarcelle des malandrins, se trouvent les noms au complet, les adresses e-mail, les dates de naissance et genre, les photos de profils, l’adresse postale, l’emploi occupé, les statuts postés, les messages directs. En gros, la totalité ou presque des données mais Google n’est pas en mesure de le déterminer : la société ne conserve qu’un jeu limité des logs d’activité.

Google a décidé de fermer purement et simplement les fonctions grand public de son réseau social, ce qui équivaut à lui donner la mort. Certes, Google+ avait pris l’allure ces dernières années d’une ville fantôme et sa disparition ne sera pas une grande perte. Reste le problème épineux des données dans la nature.

En contre-feu, l’entreprise devrait annoncer son intention de mieux protéger les données de ses utilisateurs. Ces derniers mois, le projet Strobe (une équipe d’une centaine d’ingénieurs, de directeurs produit et d’avocats) mène des audits internes afin de nettoyer la jungle des API et restreindre leur accès par les développeurs.

Voilà en tout cas qui tombe bien mal alors que Google doit présenter demain mardi un gros paquet de nouveautés matérielles.

Mise à jour — Dans un billet paru sur son blog, Google confirme la découverte d’une faille de sécurité dans une API de Google+ en mars de cette année, qui a été bouchée dans la foulée. Cette vulnérabilité, le fait que les sessions de 90% des utilisateurs de Google+ durent moins de 5 secondes et la volonté de faire le ménage dans les API poussent le moteur de recherche à fermer son réseau social au grand public.

L’entreprise écrit n’avoir trouvé aucune preuve qu’un développeur ait été au courant de cette vulnérabilité, et aucune preuve que des données aient été subtilisées.

Dans le cadre du projet Strobe, Google va aussi ajouter plus de granularité aux permissions données aux applications. L’utilisateur devra valider chaque autorisation d’accès, plutôt que de valider « par lot ».

Les nouvelles demandes d’autorisation.
avatar Crunch Crunch | 

Superbe.
J'adoooooooore Google ?

Mais bon, les smartphones Android sont pas cher ????

avatar Ali Ibn Bachir Le Gros | 

Il y a des smartphones Android assez chers. Je ne sais pas trop si ça a quelque chose à voir avec G+ cependant.

avatar Rodri31 | 

"Google aurait sciemment décidé de ne rien dire lors de la découverte de cette faille, au printemps."

Génial ??

avatar clt92 | 

La plus grosse info dans cette news c'est qu'il y avait au mois "496 951" utilisateurs de G+ ... ?

avatar Lucas | 

« Mé gé rien à cacher c pa mon problème ! »

avatar J'en_crois Pas_mes yeux | 

@Lucas Merci à toi : j'adore

avatar Dwigt | 

Les données de 500 000 comptes G+ dans la nature ? Fichtre, ça doit faire 300 000 faux profils pour sites de rencontre créés par des scammers ivoiriens dans la nature…

avatar ric_anto_ | 

Pour les utilisateurs pro clients de G Suite, G+ est encore pasmal utilisé en interne (comme Yammer pour les clients pros d'Office 365)
Du coup le chiffre de 500k utilisateurs ne me paraît pas "si" important.

avatar fousfous | 

Et après on s'étonne qu'ils échappent à toutes les affaires...

avatar Alberto8 | 

Ils copies Apple la dessus aussi ?? .

avatar vlsf1 | 

J’ai toujours été étonné que les gens soient très méfiants envers Facebook et très peu envers Google.

Peut-être parce que sur Facebook on met des choses très personnelles (photos de vacances, opinions...), mais Google connaît des choses largement plus faciles à vendre (ce qu’on cherche, où on va avec Google Maps et Waze, ce qu’on regarde sur YouTube, et je parle meme pas d’Android...). Facebook aussi peut nous tracer, mais on lui donne directement largement moins d’infos.

Bref cette histoire va faire un mal fou à Google. J’espère qu’on en parlera plus qu’une pseudo obsolescence programmée chez Apple...

avatar marenostrum | 

ils ne vendent pas les données mais ils les utilisent pour en vendre de la pub ciblée. tout simplement ils trouvent des clients pour ceux qui ont des produits à vendre. les données sont confidentielles. ils les donnent à personne. eux ils essayent de savoir tes besoins ou préférences commerciales. ce qui te manque ou que tu le cherche. et c'est tout.

la plupart des gens qui commentent ici ne connaissent rien du tout en informatique. ni comment ça fonctionne.

avatar vlsf1 | 

@marenostrum

C’est la même chose pour Facebook.

Sauf que là on voit qu’ils ne savent pas protéger ces données. Et qu’ils sont prêts à cacher cette défaillance.

avatar marenostrum | 

Facebook est different. Google c'est plus utile pour les gens. c'est un Outil. sans google l'internet ça sert à rien.

avatar vlsf1 | 

@marenostrum

D’où la différence de perception...

avatar occam | 

@marenostrum

"sans google l'internet ça sert à rien."

À rien ?
https://alternativeto.net/list/818/how-to-live-without-google

avatar marenostrum | 

les autres ont la même formule économique que Google (pourquoi et comment ils peuvent être mieux ?). sans argent rien marche en informatique. il faut du matos, + code, et de l'électricité. quelqu'un doit les payer.
y a rien de gratuit.

avatar occam | 

@marenostrum

"y a rien de gratuit. "

There is no such thing as a free lunch.
Merci de redécouvrir la thermodynamique et la 4e loi de Barry Commoner.

Maintenant que le problème est énoncé d’une manière un petit peu plus utile (un peu d’étoffe et de nuance n’a jamais fait de mal à personne), on peut rentrer dans le vif du sujet : les coûts réels de la gratuité apparente, et les leviers du piège à cons.

avatar FollowThisCar | 

@ occam

Merci pour le lien, vais voir çà d'un peu plus près ...

avatar Lucas | 

@marenostrum

Marenostrum 21h20 : « la plupart des gens qui commentent ici ne connaissent rien du tout en informatique. ni comment ça fonctionne. « 

21h25 : « sans google l'internet ça sert à rien. »

AHAHAHAHHAHAH
L’éradication de Google ne serait qu’une très bonne nouvelle pour internet ET l’humanité ;)

Sinon on peut se débrouiller pour développer des alternatives à chaque fonction proposée par Google et ses tentacules :

=> www.degooglisons-internet.org

avatar marenostrum | 

j'ai d'autre chose à faire dans ma vie que passer mon temps me protéger de google. les autres que tu vas utiliser gratuitement sont pareil que google mais étant plus pauvres sont encore plus mesquins. eux ils vendent probablement tes données aux tiers. parce que ils n'ont pas la capacité (financière, le savoir-faire ou autres) de les exploiter eux-mêmes.

avatar Lucas | 

@marenostrum

Sauf que ton affirmation « sans google l'internet ça sert à rien. » est purement mensongère et/ou démontre une ignorance totale de la réalité d’internet.

Par ailleurs, les autres, je les PAYE ou ce sont des logiciels libres auxquels je DONNE annuellement pour soutenir leur développement.
Justement pour ne pas dépendre d’un modèle économique de vente de données et/ou publicité ciblée et soutenir un internet plus libre, horizontal, égalitaire et ouvert.

Et à l’argument de soi-disant on a pas d’argent pour ça, les logiciels libres sont GRATUITS aussi ;) Mais pas du tout la même logique de gratuité...

avatar marenostrum | 

ils sont le meilleur pour la recherche (pour comprendre ma phrase). et moi j'aime le meilleur. pas de temps à perdre.

avatar Lucas | 

@marenostrum

Meilleurs à quel point de vue ? L’illusion peut-être oui, soit parce que les résultats sont hyper ciblés en fonction de la connaissance de toi, mais déjà ça pose question, soit c’est juste une habitude prise et un état de fait dû à un monopole du marché. Mais le principal et unique concurrent européen, Qwant, ne manque jamais de donner la réponse ou le bon lien non plus, sans pour autant siphonner notre vie privée...

avatar marenostrum | 

il faut trouver un mot clé et essayer tous les moteurs. et tu vois direct qui est le plus pertinent. tout dépend aussi ce que tu cherches. mais Google est le meilleur, parce que le plus puissant financièrement que les autres. et l'argent fait la différence tout seul dans la technologie.

et il est partout dans tous les sites, leur code est dans les pages. il est intégré. j'explique plus bas. fait command + option + i, pour le voir sur cette page.

avatar Lucas | 

@marenostrum

Et donc rien d’autre que ça n’a d’importance à tes yeux ? Les conséquences n’ont aucun intérêt pour toi ? Tu t’en fous juste ?

avatar oomu | 

@ marenostrum

vivi, mais c'est comme Nestlé, on peut faire sans si on le souhaite. pas grave, on achètera du chocolat moyen à un autre fabriquant, pfiulalala...

avatar e2x | 

@marenostrum

Vive le pognon ! Vive Google ! Les autres ne savent rien ????
T'as un problème d.addiction ?
Ou alors t'aimes bcp le SM.

avatar debione | 

@Lucas:
j'utilise à peu près tous les moteurs connu de recherche régulièrement... Mon IMac utilise Bing, mon IPad Google search, mon mbp Qwant et DuckDuckGo...
Pour de la petite recherche, tous se valent, quand tu commence à rechercher des trucs ultra précis tu finis immanquablement par avoir besoin de Google Search. Et ce n'est pas une question de profilage que Google ferait, la plupart du temps je navigue en mode privé avec safari.

avatar Dimemas | 

Bel exemple d’aveuglement Décérébré typique du fanboy de bas étage qu’on croise à longueur de temps ici !

Ne pas reconnaître que Google est meilleur que tout le monde sur la recherche est juste superbe. Je fais une capture écran pour montrer ça à des collègues ?

Oh mais wait !
Y a pas eu une histoire de piratage par un jeune australien il y a un mois ???
Mais là vous la rameniez beaucoup moins !
Et en plus démentie par Apple !

Que vous êtes bêtes sérieux !

avatar byte_order | 

@Lucas
> Par ailleurs, les autres, je les PAYE ou ce sont des logiciels libres auxquels je DONNE
> annuellement pour soutenir leur développement.

Cela n'empêche nullement que des failles équivalentes puissent exister dans des services Internet, même payant ou à base de logiciel libre.

Merci de ne pas confondre faille de protection de données privées et exploitation économique sur ces données privées.

Si demain on découvre que iCloud a une faille béante depuis des années, le problème sera le même alors que le modèle économique de Appe ne repose pourtant pas sur l'exploitation économique de vos données (mais sur mise en captivité, par contre...).

Le problème c'est la re-centralisation des données, un concept pourtant à l'opposé de l''idée initiale d'Internet.

avatar Dimemas | 

surtout que ça arrive de temps en temps comme dernièrement ;)

avatar Laurent S from Nancy | 

@Lucas

Certes, mais encore faut-il que ces alternatives soient efficaces. Duck Go Go c'est sympathique mais en terme de pertinence de recherche, c'est pas encore ça...

Pareil pour Peertube/Framatube, qui fait d'avantage penser par son contenu aux débuts de la vidéo sur le net qu'à une véritable alternative à Youtube.

avatar Lucas | 

@Laurent S from Nancy

Duck duck Go n’est pas une vraie alternative car ne fait que transmettre les résultats de Bing. Allez tester Qwant plutôt ;)

avatar DG33 | 

@marenostrum

Pauvre de toi si tu dépends tant de Google.

avatar Laurent S from Nancy | 

@marenostrum

Moi aussi ça m'amuse à chaque fois cette histoire de "vente de données". De toute façon Google sont plutôt clairs dans leur charte à propos de l'utilisation et la protection de tes données perso, et à partir du moment où tu décides d'utiliser leurs services (Gmail, Maps, Youtube, Photos..) tu sais très bien qu'ils garderont une trace de ce que tu fais, on est pas dans le monde des bisounours.

Après ce n'est pas obligatoire d'avoir un compte Gmail ou Chrome...

avatar marenostrum | 

le fait qu'ils rémunèrent tout le monde on peut pas leurs échapper même en utilisant pas leurs propres services. n'importe quel site qu'on consulte va nous traquer, ils ont le code de Google dans ses pages.
on vient ici, on est traqué par google, parce que ce site l'a dans ses pages, etc. on peut pas se protéger dans l'océan plein de requins. déjà eux ils arrivent pas se protéger, imagine maintenant nous les autres.
pour moi, c'est le jeu à jouer, si on veux utiliser l'informatique.

avatar Bigdidou | 

Salauds d’Apple.
Coupables.
Nous ont même pas prévenus, alors qu’ils savaient, c’est sûr.

avatar DG33 | 

Tout bonnement inadmissible.
J’espère que les « responsables » seront jugés et condamnés pour avoir caché sciemment et si longtemps la découverte de cette faille.
Quand on a les moyens de Google on paie des agences de com qui vont aider à faire passer la pilule, même en pleine affaire Cambridge Analytica.
Et ça me fait penser à : quand on veut tuer son chien on dit qu’il a la rage.

avatar malcolmZ07 | 

Plus qu'à ferme allo et duo qui ne servent à rien

avatar reborn | 

C’est des mythos

Ils ont du trouver une puce chinoise sur leurs serveurs c’est tout..

#parano
#complot
#?

avatar deltiox | 

Bref l’argument du Cloud
« Ne vous inquiétez pas, des professionnels s’occupent de vos données » ne vaut pas grand chose

Cela peut donner du grain à moudre aux DSI voulant garder les données un peu sensibles/métier sur des serveurs internes

Le Saas oui mais à condition de pouvoir se permettre de tout « partager »

Par contre ne pas divulguer cette information aux utilisateurs devrait être lourdement sanctionné
C’est sur cela que j’aimerais des suites

avatar Un Type Vrai | 

La nana qui est montée dans un taxi parce que le chauffeur était «professionnel», c'était saucissonnee dans le coffre, non ?
:-)

avatar Laurent S from Nancy | 

Bon "Google +", franchement qui utilisait ce "réseau social" ? Les quelques trucs que j'ai sur mon compte ont été ajouté automatiquement...et je n'ai que 1 abonné :D

avatar iPop | 

@Laurent S from Nancy

Autant dire c’est tout Google.

avatar FollowThisCar | 

Donc G-Mail et les mails n'ont pas été touchés, c'est - pour moi - l'essentiel.
Après, si les gens s'amusent à déballer leur vie privée sur G+, FaceBook ou Instagram, faut pas venir se plaindre ensuite, puisque l'objectif est justement de partager ces données privées avec d'autres.
En plus, dès l'installation on décide en connaissance de cause d'autoriser l'app à fouiner ou non, c'est pourquoi je n'ai aucune app de ce genre sur mon mobile, mais seulement des comptes minimalistes sur Mac. Pas de "vie sociale mobile" donc, en tout cas pas de cette espèce, et c'est bien comme çà :)

avatar Laurent S from Nancy | 

@FollowThisCar "dès l'installation on décide en connaissance de cause d'autoriser l'app à fouiner ou non"

Certaines demandes d'autorisation sont quand même farfelues (Sur Androïd en tout cas...). Par exemple j'ai une appli (DevCheck) chargée de faire un monitoring complet des capacités de mon téléphone. Pour avoir accès aux spécificités techniques de ma caméra, je dois "autoriser l'application à prendre des photos et des vidéos". C'est tourné de manière assez tordue et même flippante : on s'imagine que le truc va prendre des photos et des vidéos à notre insu alors que ce n'est clairement pas le but.

avatar FollowThisCar | 

@Laurent S from Nancy
En effet ! D'ailleurs, c'est en voyant que certaines apps demandaient l'accès au carnet d'adresses et autres infos que j'ai décidé de les virer de mon Androïd. Le fait de ne pas savoir exactement ce qui se trame en coulisse n'est pas très agréable. Au moins sur Mac on peut par ex. retrouver les cookies, suivre les processus, et avoir l'impression qu'on maîtrise un peu la situation.
Mais bon, pour des petits jeunes qui ont 800 followers sur Instagram, l'urgence de communiquer avec des potes est sans doute plus importante que la prudence !

avatar rikki finefleur | 

Espérons qu'il soit sévèrement sanctionné pour ne pas avoir prévenu les users.

avatar chriseg | 

Ckoi Google + ?

Pages

CONNEXION UTILISATEUR