Google+ ferme ses portes en raison d’une faille étouffée par Google [màj]

Mickaël Bazoge |

Entre 2015 et mars 2018, des développeurs malintentionnés ont pu accéder en toute discrétion aux profils des abonnés Google+ afin d’en siphonner les données. Le Wall Street Journal explique que ce sont les informations de centaines de milliers d’utilisateurs du réseau social (496 951 précisément…) qui ont été ainsi exposées. Et si ce n’était pas suffisamment grave, Google aurait sciemment décidé de ne rien dire lors de la découverte de cette faille, au printemps.

Le moteur de recherche aurait tout simplement étouffé l’affaire en partie par peur de s’attirer les foudres des régulateurs et pour ne pas entacher sa réputation… La vulnérabilité, découverte en mars, a été corrigée rapidement mais révéler l’histoire aurait été une catastrophe : à l’époque, tous les yeux étaient braqués sur Facebook et le scandale Cambridge Analytica.

La décision de laisser couler a été prise au plus haut niveau : le service juridique de Google a conseillé à Sundar Pichai, le CEO de l’entreprise, de ne rien dire. D’après un porte-parole du moteur de recherche, rien ne montre que des développeurs tiers aient pu tirer profit de cette faille qui touche une API de Google+ ; néanmoins, il dit aussi qu’il ne peut en être sûr et certain, ce qui n’est guère rassurant.

438 applications auraient pu avoir un accès non autorisé aux données des utilisateurs. Plus embêtant encore, parmi les victimes potentielles se trouvent des abonnés à G Suite, la suite d’outils orientés pro utilisée surtout dans les entreprises et dans le secteur de l’éducation.

L’interface de Google+ a été rafraîchie en janvier 2017.

Parmi les informations qui ont pu tomber dans l’escarcelle des malandrins, se trouvent les noms au complet, les adresses e-mail, les dates de naissance et genre, les photos de profils, l’adresse postale, l’emploi occupé, les statuts postés, les messages directs. En gros, la totalité ou presque des données mais Google n’est pas en mesure de le déterminer : la société ne conserve qu’un jeu limité des logs d’activité.

Google a décidé de fermer purement et simplement les fonctions grand public de son réseau social, ce qui équivaut à lui donner la mort. Certes, Google+ avait pris l’allure ces dernières années d’une ville fantôme et sa disparition ne sera pas une grande perte. Reste le problème épineux des données dans la nature.

En contre-feu, l’entreprise devrait annoncer son intention de mieux protéger les données de ses utilisateurs. Ces derniers mois, le projet Strobe (une équipe d’une centaine d’ingénieurs, de directeurs produit et d’avocats) mène des audits internes afin de nettoyer la jungle des API et restreindre leur accès par les développeurs.

Voilà en tout cas qui tombe bien mal alors que Google doit présenter demain mardi un gros paquet de nouveautés matérielles.

Mise à jour — Dans un billet paru sur son blog, Google confirme la découverte d’une faille de sécurité dans une API de Google+ en mars de cette année, qui a été bouchée dans la foulée. Cette vulnérabilité, le fait que les sessions de 90% des utilisateurs de Google+ durent moins de 5 secondes et la volonté de faire le ménage dans les API poussent le moteur de recherche à fermer son réseau social au grand public.

L’entreprise écrit n’avoir trouvé aucune preuve qu’un développeur ait été au courant de cette vulnérabilité, et aucune preuve que des données aient été subtilisées.

Dans le cadre du projet Strobe, Google va aussi ajouter plus de granularité aux permissions données aux applications. L’utilisateur devra valider chaque autorisation d’accès, plutôt que de valider « par lot ».

Les nouvelles demandes d’autorisation.

avatar oomu | 

...

bah, google+ comme twitter, je l'utilisais comme une poubelle où je mentais sur moi encore plus que sur MacG (le répétez pas, je vous fais confiance). Je m'en servais comme truc pour logguer des sites sans importance.

mais wow quoi!

-
si on avait appris que les courriers et documents google drive de compte G Suite avaient aussi été aspirés, ça aurait eu des conséquences vraiment importantes et direct en justice.

-
Google + aura été un échec jusqu'au bout.

avatar eastsider | 

Deja que cette m**** de google + servait a rien en plus de ça ils se manquent avec ... de la news pour en ballade ca.

avatar debione | 

Dans le temps, on engageait des gens avec des casseroles d'eau chaudes pour ouvrir les lettres et les refermer...

avatar Laurent S from Nancy | 

J'ai crée mon compte Gmail il y a plus de 10 ans, à l'époque c'était encore sur invitation, alors je ne serais peut-être pas objectif, merci de me corriger si je me plante. J'ai l'impression que si il y a un domaine où Google doit encore faire des efforts, c'est sur la transparence de l'utilisation de ses services. J'ai cru comprendre que peu de gens savent qu'en se créant un compte Gmail, ils ont aussi accès à un espace de stockage drive, à un compte Youtube, qu'un compte social "+" est aussi automatiquement crée et parfois automatiquement alimenté, que leurs photos prises avec leur smartphone androïd seront automatiquement stockées dans l'appli "Photos".

avatar FollowThisCar | 

@Laurent S from Nancy

A ce propos, j'avoue bien apprécier YouTube, qui je crois va finir par connaître une grande popularité. Pour ma part, j'ai concocté une playlist de mes morceaux préférés triés sur le volet, et j'en rajoute au fur et à mesure (une centaine pour l'instant).
Que d'autres viennent voir ou non peu importe, ce sont des vidéos déjà présentes sur YouTube et pas de problème de copyright. Ainsi, je me repasse mes moments favoris à mon bon vouloir, en laissant Autoplay enchaîner les morceaux.
Je trouve assez génial de pouvoir façonner sa propre MTV modulable à volonté. [I want my MTV ... and chicks for free !]. Merci Google.

avatar webHAL1 | 

@FollowThisCar
« A ce propos, j'avoue bien apprécier YouTube, qui je crois va finir par connaître une grande popularité. »

Non, je ne crois pas que YouTube puisse devenir populaire... Ça va rester un petit service obscure utilisé par deux-trois personnes... ?

avatar FollowThisCar | 

@ webHAL1
Déjà répondu plus bas :)

avatar webHAL1 | 

@FollowThisCar

Je n’ai pas été assez rapide. ?

avatar Laurent S from Nancy | 

@FollowThisCar "YouTube, qui je crois va finir par connaître une grande popularité." Oui il est très prometteur ce petit site d'hébergement de vidéos :-D

Sinon, je réponds du coup à mes interrogations plus haut et je fais mon mea-culpa, puisque effectivement aujourd'hui créer une adresse Gmail équivaut à créer un compte Google avec "tout" inclus : https://accounts.google.com/signup/v2/webcreateaccount?hl=fr&flowName=GlifWebSignIn&flowEntry=SignUp

avatar FollowThisCar | 

@Laurent S from Nancy

"Oui il est très prometteur ce petit site d'hébergement de vidéos :-D"
Ha ha, je pensais aux concurrents payants de YouTube, genre Spotify et autres Apple Music. Tiens, prends çà dans les dents Eddy Cue grrrrr...

avatar IPICH | 

En gros ils ont merdés sévère. Et ça n'arrêtera pas les gens ni la société en question.

Pages

CONNEXION UTILISATEUR