Attention, les partages avec Google Photos sont toujours publics

Nicolas Furno |

Ce n’est pas vraiment une faille de sécurité à proprement parler, mais plutôt une fonction très mal implémentée. Quand vous envoyez une image à un ami en utilisant Google Photos, une URL est générée automatiquement par Google et ce lien est public. En clair, n’importe qui peut l’ouvrir dans son navigateur et accéder au contenu partagé, même s’il n’a pas été invité.

Vous pouvez tester vous-même avec cette image partagée à mon collègue Florian1 et à lui seul en théorie. Cliquez sur ce lien et vous verrez, vous aussi, la photo, alors que je ne l’ai pas partagée avec vous. Vous pourrez télécharger le fichier original sans aucune autorisation de ma part, ou partager le lien avec le monde entier à mon insu.

Cette photo partagée via Google Photos est accessible librement, même sans être connectée.

Le système de partage de Google Photos repose sur des liens et des identifiants uniques générés aléatoirement. Ce n’est pas un défaut en soi, ce mécanisme est utilisé par tous les services de cloud, y compris par ceux d’Apple. Mais le problème, c’est que ce lien est accessible publiquement, ce qui n’est absolument pas indiqué dans l’interface de partage du service.

En effet, Google Photos permet de partager publiquement des photos, en utilisant l’option « Créer un lien » lors du partage d’une photo ou d’un album. Mais on peut aussi choisir d’envoyer les images à un contact personnel, en le sélectionnant dans la liste. Dans ce cas, on peut raisonnablement penser que seules les personnes invitées auront accès aux images, mais ce n’est pas le cas. Sous le capot, le mécanisme est strictement identique dans les deux cas et une URL publique est systématiquement générée.

Quand on partage une image dans Google Photos, le service distingue bien les partages théoriquement privés, en haut, du partage public associé à l’option « Créer un lien ».

Google pourrait se défendre en indiquant que le lien de partage est masqué quand on envoie un fichier à une personne en particulier, et qu’il est généré avec un identifiant impossible à deviner. C’est vrai, mais il n’empêche que ce lien public existe et s’il est partagé de manière publique, par exemple sur les réseaux sociaux, l’image sera accessible largement sans limite. Pourquoi est-ce que Google Photos n’exige pas une authentification des personnes invitées ? C’est ce que fait Apple et paradoxalement, c’est aussi ce que fait Google pour Drive et Docs. Pourquoi n’est-ce pas le cas pour Google Photos ?

Pour ne rien arranger, supprimer ces liens de partage n’est pas simple, ni pratique. Vous devez ouvrir Google Photos, afficher la section « Partage » et sélectionner chaque élément pour le supprimer et par la même occasion supprimer son lien de partage. Si vous utilisez le service de partage, vérifiez a minima le contenu partagé et supprimez les images que vous voulez conserver privées.


  1. Qui adore les chats.  ↩

avatar Lucas | 

Tous les jours on découvre plus à quel point Hoogle et Facebook n’en ont strictement rien à faire de la protection de notre vie privée...

Comment les gens peuvent-ils encore les utiliser si massivement, surtout les services non-indispensables et/ou sont des alternatives de qualité existent ?!

avatar UraniumB | 

@Lu Canneberges

La gratuité mon cher ! La gratuité !

avatar romainB84 | 

@Lu Canneberges

Toujours le même principe!
Des lors qu’on accepte les règles du jeu il n’y a aucun soucis!
Par contre faut pas utiliser les services de Google et se plaindre qu’ils ne respecte pas la vie privé (je ne dis pas pour vous! C’est uniquement de manière générale 🙂)
(Causalité : cause / conséquence. J’utilise les services gratuits de Google / j’accepte de faire une croix sur mes donnees personnelles
Je payes des produits et services Apple la peau des fesses / les données privés sont respectée (c’est une histoire de business model)
(Évidement que les trolls ne seront pas d’accord ... mais bon.. il y en a bien qui pense que la terre est plate ... partant de la !! Toujours la même règles, leur répondre « oui🙂, tu as raison » 😉)

avatar Timmy | 

@romainB84

🤔

« Toujours le même principe!
Des lors qu’on accepte les règles du jeu il n’y a aucun soucis!
Par contre faut pas utiliser les services de Google et se plaindre qu’ils ne respecte pas la vie privé (je ne dis pas pour vous! C’est uniquement de manière générale 🙂)
(Causalité : cause / conséquence. J’utilise les services gratuits de Google / j’accepte de faire une croix sur mes donnees personnelles
Je payes des produits et services Apple la peau des fesses / les données privés sont respectée (c’est une histoire de business model)
(Évidement que les trolls ne seront pas d’accord ... mais bon.. il y en a bien qui pense que la terre est plate ... partant de la !! Toujours la même règles, leur répondre « oui🙂, tu as raison » 😉) »

Toutafé !

avatar romainB84 | 

@Timmy

😉

avatar Godverdomme | 

Et si c'était croire que Apple respecte ta vie privée qui est l'équivalent de la terre plate ?

avatar Timmy | 

@Godverdomme

« Et si c'était croire que Apple respecte ta vie privée qui est l'équivalent de la terre plate ? »
C’est possible, mais pour l’instant tout laisse à penser le contraire.
« Si c’est gratuit, c’est toi le produit », ça a tendance a se confirmer ici.

avatar Godverdomme | 

Parceque c'est clair qu une photo inaccessible au final, c'est pire qu'un bug Facetime qui donne accès a vidéo et ton micro...

Si c'est pas gratuit et que c'est encore plus mal foutu, je préfère être le produit.

avatar malcolmZ07 | 

@Lu Canneberges

Service plutôt performant du côté de google en tout cas

avatar romainB84 | 

@malcolmZ07

C’est bien toute la problématique avec Google !!
Ils exploitent les données et la vie privée des gens a fond mais leurs services sont d’une qualités excellentes !!
Si au moins c’était de la merde, la solution serait assez simple 😉
Après je préfère quand même des services un peu moins bon mais qui respecte ma vie privée que des services irréprochables mais au prix de ma vie privée 🙂
C’est une histoire de « curseur » tout ça 😉

avatar Kinky | 

C'est une des raisons pour lesquelles j'ai viré l'upload automatique dans le cloud de Google.
Pas envie de partager mes photos de cul ou autre avec le monde entier.

Surtout que maintenant, tout le monde "google" tout le monde. Que ce soit pour une embauche ou les amis. C'est ça big brother.

Et Google, Facebook, Apple ou autre, dans le cloud, ou plutôt dans leurs serveurs pseudo sécurisés, vous n'avez plus la main sur votre contenu, même s'ils veulent nous persuader du contraire.
En matière de données personnelles, le cloud, c'est le diable.

avatar byte_order | 

@Kinky
> En matière de données personnelles, le cloud, c'est le diable.

Sauf si c'est du cloud privé, donc sous votre contrôle.

C'est pas technologie qui est en cause.
C'est à qui l'on cède le contrôle sur notre environnement informatique.

Y'a une tendance de fond chez les gens qui les font accepter de céder le contrôle à autrui contre du service présenté comme gratuit, alors que son prix est, à minima, cette perte de contrôle. Y compris dans l'écosystème d'Apple.

avatar Godverdomme | 

C'est assez cocasse de croire que les failles sont principalement liées a Facebook et Google et pas Apple :-)

avatar UraniumB | 

Les partisans de Google, qu’avez-vous à dire pour votre défense ? 🤗 🍿

avatar LoossSS | 

Ils disent qu'ils connaissent les règles et les acceptent. Tout est une histoire de catégorisation de contenu. Si c'est critique tu mets sur des services sécurisés. Si ça ne l'est pas et que ça ne t'embête pas, tu peux utiliser les services Google qui sont ultra performants

avatar John McClane | 

@UraniumB

J’utilise Gmail mais pas Google Photos ni d’autres trucs de Google. J’aurais bien aimé me passer de Gmail, mais il est vraiment performant... 🤷‍♂️

avatar UraniumB | 

@John McClane

Oui pareil.

avatar Godverdomme | 

C'est moins grave que le téléphone qui se bloque avec un simple SMS ou les différentes failles Apple
Chacun a ses problèmes, et ils sont différents...

avatar Yves SG | 

De toutes façon, les photos que vous lui confiez APPARTIENNENT à Google.

Donc à partir de là...

avatar LoossSS | 

@yves
C'est faux. Au lieu de proclamer des âneries, va lire les CGU :

Certains de nos Services vous permettent d'importer, de soumettre, de stocker, d'envoyer ou de recevoir des contenus. Vous conservez tous vos droits de propriété intellectuelle sur ces contenus. En somme, ce qui est à vous reste à vous.

avatar Yves SG | 

@LoossSS

Tu n’as visiblement pas tout lu.

« Lorsque vous importez, soumettez, stockez, envoyez ou recevez des contenus à ou à travers de nos Services, vous accordez à Google (et à toute personne travaillant avec Google) une licence, dans le monde entier, d'utilisation, d'hébergement, de stockage, de reproduction, de modification, de création d'œuvres dérivées, de communication, de publication, de représentation publique, d'affichage public ou de distribution publique desdits contenus. »

En claire : ce qui est à vous n’est plus à vous.
Par contre on a effectivement encore le droit d’utiliser ses propres données 🤨...

Au passage, la politesse ne coûte plus plus cher 😉😊

avatar LoossSS | 

La suite encore :
"Certains Services prévoient par ailleurs des conditions ou des paramètres restreignant la portée de notre droit d'utilisation des contenus que vous avez soumis aux Services en question"

En l'occurrence Google Drive et Google photos ont des conditions particulières..

Désolé, le fait de te contredire (même si j'ai tort on sait jamais) ne veut pas dire que je suis impoli. Te dire que tu dis des âneries n'est pas non plus une insulte. Au pire c'est juste un peu rentre dedans. Enfin bon désolé si ça ne convenait pas

avatar YAZombie | 

@ LoossSS, "Te dire que tu dis des âneries n'est pas non plus une insulte. Au pire c'est juste un peu rentre dedans"
Il y en a un paquet ici qui prennent la moindre critique comme une attaque personnelle. Incapables de faire face. En particulier quand ils ont tort… (je ne te vise pas ici, Yves SG; même si j'estime comme LoossSS que le qualifier d'impoli est très très exagéré tu as aussi été tout à fait fair play.)

avatar LoossSS | 

@YAZombie
Bon après c'est vrai que j'étais un peu agressif dans ma réponse. J'aurai pu le formuler autrement. C'est un travail de tous les jours ;)

avatar YAZombie | 

Ce qui me dérange toujours c'est la non-réciprocité. Ce que tu viens de faire - reconnaître une faute, ou une erreur - combien font l'inverse et reviennent à la charge avec la plus grande mauvaise foi…
Comme tu dis, un travail de tous les jours…

Pages

CONNEXION UTILISATEUR