Attention, les partages avec Google Photos sont toujours publics

Nicolas Furno |

Ce n’est pas vraiment une faille de sécurité à proprement parler, mais plutôt une fonction très mal implémentée. Quand vous envoyez une image à un ami en utilisant Google Photos, une URL est générée automatiquement par Google et ce lien est public. En clair, n’importe qui peut l’ouvrir dans son navigateur et accéder au contenu partagé, même s’il n’a pas été invité.

Vous pouvez tester vous-même avec cette image partagée à mon collègue Florian1 et à lui seul en théorie. Cliquez sur ce lien et vous verrez, vous aussi, la photo, alors que je ne l’ai pas partagée avec vous. Vous pourrez télécharger le fichier original sans aucune autorisation de ma part, ou partager le lien avec le monde entier à mon insu.

Cette photo partagée via Google Photos est accessible librement, même sans être connectée.

Le système de partage de Google Photos repose sur des liens et des identifiants uniques générés aléatoirement. Ce n’est pas un défaut en soi, ce mécanisme est utilisé par tous les services de cloud, y compris par ceux d’Apple. Mais le problème, c’est que ce lien est accessible publiquement, ce qui n’est absolument pas indiqué dans l’interface de partage du service.

En effet, Google Photos permet de partager publiquement des photos, en utilisant l’option « Créer un lien » lors du partage d’une photo ou d’un album. Mais on peut aussi choisir d’envoyer les images à un contact personnel, en le sélectionnant dans la liste. Dans ce cas, on peut raisonnablement penser que seules les personnes invitées auront accès aux images, mais ce n’est pas le cas. Sous le capot, le mécanisme est strictement identique dans les deux cas et une URL publique est systématiquement générée.

Quand on partage une image dans Google Photos, le service distingue bien les partages théoriquement privés, en haut, du partage public associé à l’option « Créer un lien ».

Google pourrait se défendre en indiquant que le lien de partage est masqué quand on envoie un fichier à une personne en particulier, et qu’il est généré avec un identifiant impossible à deviner. C’est vrai, mais il n’empêche que ce lien public existe et s’il est partagé de manière publique, par exemple sur les réseaux sociaux, l’image sera accessible largement sans limite. Pourquoi est-ce que Google Photos n’exige pas une authentification des personnes invitées ? C’est ce que fait Apple et paradoxalement, c’est aussi ce que fait Google pour Drive et Docs. Pourquoi n’est-ce pas le cas pour Google Photos ?

Pour ne rien arranger, supprimer ces liens de partage n’est pas simple, ni pratique. Vous devez ouvrir Google Photos, afficher la section « Partage » et sélectionner chaque élément pour le supprimer et par la même occasion supprimer son lien de partage. Si vous utilisez le service de partage, vérifiez a minima le contenu partagé et supprimez les images que vous voulez conserver privées.


  1. Qui adore les chats.  ↩


avatar Lucas | 

Tous les jours on découvre plus à quel point Hoogle et Facebook n’en ont strictement rien à faire de la protection de notre vie privée...

Comment les gens peuvent-ils encore les utiliser si massivement, surtout les services non-indispensables et/ou sont des alternatives de qualité existent ?!

avatar UraniumB | 

@Lu Canneberges

La gratuité mon cher ! La gratuité !

avatar romainB84 | 

@Lu Canneberges

Toujours le même principe!
Des lors qu’on accepte les règles du jeu il n’y a aucun soucis!
Par contre faut pas utiliser les services de Google et se plaindre qu’ils ne respecte pas la vie privé (je ne dis pas pour vous! C’est uniquement de manière générale 🙂)
(Causalité : cause / conséquence. J’utilise les services gratuits de Google / j’accepte de faire une croix sur mes donnees personnelles
Je payes des produits et services Apple la peau des fesses / les données privés sont respectée (c’est une histoire de business model)
(Évidement que les trolls ne seront pas d’accord ... mais bon.. il y en a bien qui pense que la terre est plate ... partant de la !! Toujours la même règles, leur répondre « oui🙂, tu as raison » 😉)

avatar Timmy | 

@romainB84

🤔

« Toujours le même principe!
Des lors qu’on accepte les règles du jeu il n’y a aucun soucis!
Par contre faut pas utiliser les services de Google et se plaindre qu’ils ne respecte pas la vie privé (je ne dis pas pour vous! C’est uniquement de manière générale 🙂)
(Causalité : cause / conséquence. J’utilise les services gratuits de Google / j’accepte de faire une croix sur mes donnees personnelles
Je payes des produits et services Apple la peau des fesses / les données privés sont respectée (c’est une histoire de business model)
(Évidement que les trolls ne seront pas d’accord ... mais bon.. il y en a bien qui pense que la terre est plate ... partant de la !! Toujours la même règles, leur répondre « oui🙂, tu as raison » 😉) »

Toutafé !

avatar romainB84 | 

@Timmy

😉

avatar Godverdomme | 

Et si c'était croire que Apple respecte ta vie privée qui est l'équivalent de la terre plate ?

avatar Timmy | 

@Godverdomme

« Et si c'était croire que Apple respecte ta vie privée qui est l'équivalent de la terre plate ? »
C’est possible, mais pour l’instant tout laisse à penser le contraire.
« Si c’est gratuit, c’est toi le produit », ça a tendance a se confirmer ici.

avatar Godverdomme | 

Parceque c'est clair qu une photo inaccessible au final, c'est pire qu'un bug Facetime qui donne accès a vidéo et ton micro...

Si c'est pas gratuit et que c'est encore plus mal foutu, je préfère être le produit.

avatar malcolmZ07 | 

@Lu Canneberges

Service plutôt performant du côté de google en tout cas

avatar romainB84 | 

@malcolmZ07

C’est bien toute la problématique avec Google !!
Ils exploitent les données et la vie privée des gens a fond mais leurs services sont d’une qualités excellentes !!
Si au moins c’était de la merde, la solution serait assez simple 😉
Après je préfère quand même des services un peu moins bon mais qui respecte ma vie privée que des services irréprochables mais au prix de ma vie privée 🙂
C’est une histoire de « curseur » tout ça 😉

avatar byte_order | 

@Kinky
> En matière de données personnelles, le cloud, c'est le diable.

Sauf si c'est du cloud privé, donc sous votre contrôle.

C'est pas technologie qui est en cause.
C'est à qui l'on cède le contrôle sur notre environnement informatique.

Y'a une tendance de fond chez les gens qui les font accepter de céder le contrôle à autrui contre du service présenté comme gratuit, alors que son prix est, à minima, cette perte de contrôle. Y compris dans l'écosystème d'Apple.

avatar Godverdomme | 

C'est assez cocasse de croire que les failles sont principalement liées a Facebook et Google et pas Apple :-)

avatar UraniumB | 

Les partisans de Google, qu’avez-vous à dire pour votre défense ? 🤗 🍿

avatar LoossSS | 

Ils disent qu'ils connaissent les règles et les acceptent. Tout est une histoire de catégorisation de contenu. Si c'est critique tu mets sur des services sécurisés. Si ça ne l'est pas et que ça ne t'embête pas, tu peux utiliser les services Google qui sont ultra performants

avatar John McClane | 

@UraniumB

J’utilise Gmail mais pas Google Photos ni d’autres trucs de Google. J’aurais bien aimé me passer de Gmail, mais il est vraiment performant... 🤷‍♂️

avatar UraniumB | 

@John McClane

Oui pareil.

avatar Godverdomme | 

C'est moins grave que le téléphone qui se bloque avec un simple SMS ou les différentes failles Apple
Chacun a ses problèmes, et ils sont différents...

avatar Yves SG | 

De toutes façon, les photos que vous lui confiez APPARTIENNENT à Google.

Donc à partir de là...

avatar LoossSS | 

@yves
C'est faux. Au lieu de proclamer des âneries, va lire les CGU :

Certains de nos Services vous permettent d'importer, de soumettre, de stocker, d'envoyer ou de recevoir des contenus. Vous conservez tous vos droits de propriété intellectuelle sur ces contenus. En somme, ce qui est à vous reste à vous.

avatar Yves SG | 

@LoossSS

Tu n’as visiblement pas tout lu.

« Lorsque vous importez, soumettez, stockez, envoyez ou recevez des contenus à ou à travers de nos Services, vous accordez à Google (et à toute personne travaillant avec Google) une licence, dans le monde entier, d'utilisation, d'hébergement, de stockage, de reproduction, de modification, de création d'œuvres dérivées, de communication, de publication, de représentation publique, d'affichage public ou de distribution publique desdits contenus. »

En claire : ce qui est à vous n’est plus à vous.
Par contre on a effectivement encore le droit d’utiliser ses propres données 🤨...

Au passage, la politesse ne coûte plus plus cher 😉😊

avatar LoossSS | 

La suite encore :
"Certains Services prévoient par ailleurs des conditions ou des paramètres restreignant la portée de notre droit d'utilisation des contenus que vous avez soumis aux Services en question"

En l'occurrence Google Drive et Google photos ont des conditions particulières..

Désolé, le fait de te contredire (même si j'ai tort on sait jamais) ne veut pas dire que je suis impoli. Te dire que tu dis des âneries n'est pas non plus une insulte. Au pire c'est juste un peu rentre dedans. Enfin bon désolé si ça ne convenait pas

avatar YAZombie | 

@ LoossSS, "Te dire que tu dis des âneries n'est pas non plus une insulte. Au pire c'est juste un peu rentre dedans"
Il y en a un paquet ici qui prennent la moindre critique comme une attaque personnelle. Incapables de faire face. En particulier quand ils ont tort… (je ne te vise pas ici, Yves SG; même si j'estime comme LoossSS que le qualifier d'impoli est très très exagéré tu as aussi été tout à fait fair play.)

avatar LoossSS | 

@YAZombie
Bon après c'est vrai que j'étais un peu agressif dans ma réponse. J'aurai pu le formuler autrement. C'est un travail de tous les jours ;)

avatar YAZombie | 

Ce qui me dérange toujours c'est la non-réciprocité. Ce que tu viens de faire - reconnaître une faute, ou une erreur - combien font l'inverse et reviennent à la charge avec la plus grande mauvaise foi…
Comme tu dis, un travail de tous les jours…

avatar Yves SG | 

@YAZombie

Il est bien évident que les attaques et critiques de LoossSS, Pierre, Paul ou Jacques n’ont rien de personnel. Mais pourquoi attaquer et critiquer alors qu’il serait si simple et si agréable d’échanger des points de vue différents de façon constructive, respectueuse, voir bienveillante ?

avatar YAZombie | 

@Yves SG: oui oui, je confirme, c'est aussi ma règle… générale.
Mais je considère qu'il y a des cas, tels que la mauvaise foi patente et répétée, pouvant prendre de nombreuses formes, qui ne mérite même pas la courtoisie de base. Tu as des cocos ici à qui répondre poliment est peine perdue, la moindre remarque même polie est une attaque personnelle, et souvent ils diffusent des informations totalement fausses - la plupart du temps leurs opinions fondées sur rien - sans la moindre vergogne, et sans jamais le reconnaître. Je ne te donnerai pas de noms déjà parce que je ne suis pas une balance mais aussi parce que, si tu es là de manière régulière il est impossible que tu n'en aies pas croisés…

avatar byte_order | 

@Yves SG
> De toutes façon, les photos que vous lui confiez APPARTIENNENT à Google.

Le droit d'auteur n'est pas cédé.
Par contre, oui, a chaque photo confiée (en pratique, "reproduite") à un service Google vous concédez un droit d'exploitation de l'oeuvre. Théoriquement, ce droit doit être limité dans le temps il me semble, par contre.

avatar Yves SG | 

@byte_order

À partir du moment où une licence mondiale est accordée pour tout type d’exploitation, si, les droits d’auteurs sont perdus.
En effet d’après le site service-public.fr « Le droit d’auteur confère à l'auteur un droit de propriété exclusif sur sa création, aussi bien en matière de droits moraux (divulgation, notamment) que patrimoniaux (droit d'exploitation de l'œuvre : représentation, reproduction ou adaptation). »

Concernant la durée dans le temps :
« Cette autorisation demeure pour toute la durée légale de protection de votre contenu, même si vous cessez d'utiliser nos Services »...

avatar rikki finefleur | 

Disons que
1/ ce n'est pas a votre insu, puisqu'au lieu de faire une photo + un mdp , ils utilisent une url difficilement trouvable
2/ C'est exactement comme si il y avait une photo avec mdp et que vous donniez ce lien et le mdp , puis cette dernière personne va lui aussi redonner lien et mdp a un autre, et ainsi de suite

Bref c'est une façon de protéger des photos via des url longues , qui évitent des mdp ou appli ou identifiant.
Apres meme avec un identifiant et une appli ultra sécurisée , une copie d’écran et hop cette photo peut se retrouver partout..
Bref en résumé soit votre interlocuteur est de confiance, soit il ne l'est pas..

Moi je trouve pénible pour voir une photo ou une vidéo d'un gars , de devoir créer un compte dans l'appli , de se loguer etc.. d'ou une succion de nos données par cet appli en +
Au moins la c'est simple

avatar romainB84 | 

@rikki finefleur

Je suis d’accord que le fait de devoir installer une appli pour ça peut être un frein !
Mais au pire il y a toujours la bête solution du partage par mail ou MMS pour ceux qui n’ont pas lappli 🙂

avatar rikki finefleur | 

Ben moi je n'ai pas fessedebookk conclusion il y a plein truc que je ne peux voir.
Et ils peuvent toujours se brosser pour que j'ouvre un compte chez eux.

avatar romainB84 | 

@rikki finefleur

Je comprend parfaitement 🙂
D’où la bête solution comme je disais du mms ou du mail (au risque de paraître ringard, au moins cette solution est « presque » universelle (je sais que les trolls vont me dire que tout le monde n’a pas d’adresse mail ni de numéro de téléphone! 😁 - mais bon quelqu’un qui n’a pas d’adresse mail ou de 06 ne peut pas recevoir le lien envoyé par Google photo de toute manière 😉)

avatar rikki finefleur | 

Exact le mail reste un truc bien simple..

avatar romainB84 | 

@rikki finefleur

+ 100
Mais le troll dira « le mail est ringard » 😉

avatar LoossSS | 

Oui enfin pour quelques photos ok mais un album de vacances ça rentre pas dans un mail. Aussi, la plupart des services (WhatsApp, mms, Messenger etc) réduisent drastiquement la qualité des photos....

avatar romainB84 | 

@LoossSS

Je peux pas te dire, j’utilise iCloud pour mes mails, et je n’ai aucune limite de taille (donc pour moi un album photo ça passe sans soucis)
Après personnellement j’utilise le partage d’album sur iCloud 🙂

avatar Minileul | 

Chez Apple on peux cochez rendre public l’album.
Là chez Google c’est public par défaut...sans possibilité de rendre privé 😂
C’est comme quand on partage une photo ou un document sur Dropbox le lien est public mais on peux au moins mettre un mot de passe mais en payant ^^

avatar rikki finefleur | 

Public encore faut il trouver l'url.. Accrochez vous...

avatar mjuaneda | 

@rikki finefleur

Le problème est que le destinataire du lien peut le forwarder a n’importe qui sans votre accord, et vous ne saurez même pas qui a accédé à vos photos.
Il suffirait que Google l’indique clairement (et prévoit aussi une solution plus sécurisée, mais bon...)

avatar rikki finefleur | 

le gars peut aussi faire des copies d'ecran sans vous prévenir ..ce qui revient au même...

avatar bibi81 | 

Le problème est que le destinataire du lien peut le forwarder

du lien, de l'email, du sms, du courrier postal, etc... Le problème ce n'est pas le lien, c'est le destinataire !

avatar Devy57 | 

C'est justement la question que je me posais en lisant cet article car j'utilise de temps en temps cette fonction pour partager avec des personnes non équipés apple.

Est il possible que quelqu'un tombe sur ces liens "publics" ?

avatar bibi81 | 

Est il possible que quelqu'un tombe sur ces liens "publics" ?

La probabilité est faible mais elle n'est pas nulle.

avatar pagaupa | 

Aie! Ça doit faire mal pour les têtes en l’air! 😂

avatar DG33 | 

@pagaupa

Et pour ceux qui ont les fesses à l’air sur les photos...

avatar magic.ludovic | 

Partager plus de 100 photos de qualité respectable ( donc plusieurs Mo par image) par mail... dur dur...

avatar macinoe | 

Je ne vois vraiment pas où est le problème, la tromperie ou le scoop.
Si on n'a pas l'url, on n'a pas le mot de passe qu'elle contient et on n'a pas le fichier..
So what ?

avatar echarbon44 | 

Il n’ a pas que vos photos qui appartiennent à FB ou Google. Carrefour a signé avec Google un partenariat stratégique. Vous faites vos courses chez Carrefour et vous êtes fiché chez Google...Il savent tout de vous sur le net et maintenant en physique dans les magasins....

avatar John McClane | 

@echarbon44

Uniquement si on a pris la carte de fidélité.

avatar Lucas | 

@echarbon44

Tu aurais une source là-dessus ? Ça m’intrigue ! Merci :)

Pages

CONNEXION UTILISATEUR