Attention, les partages avec Google Photos sont toujours publics
Ce n’est pas vraiment une faille de sécurité à proprement parler, mais plutôt une fonction très mal implémentée. Quand vous envoyez une image à un ami en utilisant Google Photos, une URL est générée automatiquement par Google et ce lien est public. En clair, n’importe qui peut l’ouvrir dans son navigateur et accéder au contenu partagé, même s’il n’a pas été invité.
Vous pouvez tester vous-même avec cette image partagée à mon collègue Florian1 et à lui seul en théorie. Cliquez sur ce lien et vous verrez, vous aussi, la photo, alors que je ne l’ai pas partagée avec vous. Vous pourrez télécharger le fichier original sans aucune autorisation de ma part, ou partager le lien avec le monde entier à mon insu.
Le système de partage de Google Photos repose sur des liens et des identifiants uniques générés aléatoirement. Ce n’est pas un défaut en soi, ce mécanisme est utilisé par tous les services de cloud, y compris par ceux d’Apple. Mais le problème, c’est que ce lien est accessible publiquement, ce qui n’est absolument pas indiqué dans l’interface de partage du service.
En effet, Google Photos permet de partager publiquement des photos, en utilisant l’option « Créer un lien » lors du partage d’une photo ou d’un album. Mais on peut aussi choisir d’envoyer les images à un contact personnel, en le sélectionnant dans la liste. Dans ce cas, on peut raisonnablement penser que seules les personnes invitées auront accès aux images, mais ce n’est pas le cas. Sous le capot, le mécanisme est strictement identique dans les deux cas et une URL publique est systématiquement générée.
Google pourrait se défendre en indiquant que le lien de partage est masqué quand on envoie un fichier à une personne en particulier, et qu’il est généré avec un identifiant impossible à deviner. C’est vrai, mais il n’empêche que ce lien public existe et s’il est partagé de manière publique, par exemple sur les réseaux sociaux, l’image sera accessible largement sans limite. Pourquoi est-ce que Google Photos n’exige pas une authentification des personnes invitées ? C’est ce que fait Apple et paradoxalement, c’est aussi ce que fait Google pour Drive et Docs. Pourquoi n’est-ce pas le cas pour Google Photos ?
Pour ne rien arranger, supprimer ces liens de partage n’est pas simple, ni pratique. Vous devez ouvrir Google Photos, afficher la section « Partage » et sélectionner chaque élément pour le supprimer et par la même occasion supprimer son lien de partage. Si vous utilisez le service de partage, vérifiez a minima le contenu partagé et supprimez les images que vous voulez conserver privées.
-
Qui adore les chats. ↩
Ah la la ca pèse des milliards mais ça sait pas implémenter des petites fonctions aussi basiques 🙄
Google + et consorts faut rien mettre sur ces merdes là
Des partenaires ou prestataires m’envoient souvent des fichiers qui sont leur drive, je préfère faire une copie locale et rien sauvegarder dans leur nuage
@corben
Celui comme beaucoup ici qui ne connaît pas et qui critique parce que c’est Google !
Même protégé, rien n’empêche ensuite le destinataire d’un lien protégé de sauvegarder la photo et de la re partager derrière...
Et Google informe la personne que le lien proposé est publique. Si on veut protéger la copie, il faut utiliser le partage nominatif...
@Mylepat34
Mais non justement. Je n’ai pas du être clair dans l’article parce que c’est exactement ce que je dis.
Le lien que j’ai mis, c’est un partage nominatif, pas un partage public. Il n’empêche que Google crée un partage public dans les deux cas, il n’y a quasiment aucune différence entre les deux modes de partage.
Le mot de passe, c'est l'URL complexe
@keff
Plus personne ne saisit d’URL, on les copie et on les colle n’importe où. Ça ne vaut strictement rien comme sécurité.
@nfurno
Ah. Donc puisque ce n'est pas sécurisé, j'imagine que tu peux coller ici un lien avec mes photos privées stp ?
Ce que keff disait c'est que ce n'est pas le genre d'URL qui se devine...
@LoossSS
🤦♂️
Vous envoyez une photo à un proche, pensant qu’il est le seul à y avoir accès. Mais il suffit que ce lien se trouve sur un lieu public pour que potentiellement n’importe qui y est accès.
Je ne comprends pas ce qui n’est pas clair dans le problème. En cas de partage privé, il suffirait d’exiger une connexion de la personne invitée pour accéder aux images. Comme Google le fait pour ses autres services.
Le fait que les URL soient complexes ne change pas grand chose à l’affaire. Oui, c’est mieux que des URL faciles à deviner, certes. Mais encore une fois, un lien ça se copie et ça se colle.
@nicolas
Donc il faudrait que la personne crée un compte google !!!
C'est justement ce que goog veut eviter ..je pense que c'est simple a comprendre pourtant..
Et d'autre part une photo aussi se copie , colle..
Si la personne le colle n'importe où que cela soit un lien OU une photo , le résultat sera le même.
@rikki finefleur
Google Photos permet déjà de créer un lien public, accessible par n’importe qui et avec une URL difficile à deviner. Je ne vois pas pourquoi ça disparaîtrait.
Et puis franchement, qui n’a pas de compte Google ? Ça existe bien sûr, mais en moyenne c’est un faux problème. Et le cas échéant, il suffit d’envoyer la photo par un autre biais.
Mais on a bien compris comment ça marche merci. C'est gentil de me prendre pour un neuneu (avec tout le respect que je vous dois c'est quand même vous qui venez de découvrir le fonctionnement de Google photos, pas moi), mettre un facepalm et me réexpliquer mais c'est pas de ça qu'on parlait.
Techniquement du moment où tu partages une photo, plus ou moins sécurisé, URL difficile, login MDP, compte à créer pour y accéder etc. tu ne joues que sur la difficulté d'accès à ta photo. Mais dans chacun de ces cas, absolument rien ne te garantit qu'elle ne sera pas consultée derrière par quelqu'un d'autre. Si la personne à qui tu l'envoies à décidé de la repartager derrière, elle le fera.
Enfin, oui Google photos pourrait proposer les 2 modes et que ce soit plus clair et mieux indiqué lors de la création du lien de partage.
Mais les URL compliquées mais finalement publiques ont aussi leur intérêt. J'étais à un mariage, j'ai fait un album avec les photos que j'avais et envoyé l'album à quelques personnes. Cet album a été repartagé derrière à d'autres personnes (que je n'ai pas dans mes contacts) présentent au mariage qui étaient bien contentes d'avoir les photos. Et contrairement à ce Que j'ai vu dans certains commentaires, Google m'a prévenu et me dit qui accède à l'album à chaque fois qu'une nouvelle personne clique sur le lien...
"Mais il suffit que ce lien se trouve sur un lieu public pour que potentiellement n’importe qui y est accès.
Je ne comprends pas ce qui n’est pas clair dans le problème."
Il suffit que quelqu'un mette la photo sur un site public et n'importe qui peut y avoir accès.
L'url, un mot de passe ou son contenu c'est pareil.
Celui qui l'a en sa possession peut en faire ce qu'il veut, mais si tu ne l'a pas tu ne peux pas le deviner.
Vraiment je ne vous pas le problème ni le scoop.
Ça a toujours été clair et évident non ?
@macinoe
Non, parce que Google distingue bien les partages publics et privés dans son interface. Alors qu’ils sont tous publics.
J’ai l’impression de répéter en boucle et de ne pas être compris, mais je ne vois pas comment le dire différemment… 🤷♂️
C'est un problème de dénomination commerciale alors..
Ou tout simplement de définition
"Partager un lien avec un de vos contact" serait peut-être plus judicieux comme dénomination.
Mais très franchement ça ne me choque pas. J'ai toujours compris que ça fonctionnait comme ça.
Que le terme privé puisse recouvrir des fonctionnalités différentes selon les services, ce n'est pas non plus le scandale du Watergate.
Et en terme de sécurité, donner une photo à quelqu'un ou l'url complexe permettant de la télécharger, c'est équivalent.
De toute façon la personne fera ce qu'elle veut avec ensuite.
Si c'est une histoire de vocabulaire qui n'a aucune implication concrète en terme de sécurité, je ne vois vraiment pas l'intérêt de la polémique.
@macinoe
Je commence l’article en expliquant précisément que ce n’est pas une faille, mais une fonction mal implémentée. Google fait tout pour distinguer un partage clairement public et un autre privé, en fait ce n’est pas le cas, c’est tout.
Et je maintiens tout ce que j’ai écrit il y a deux jours maintenant, si vous ne voulez pas comprendre, j’abandonne.
Si je crois comprendre, mais ça me semble insignifiant en terme de sécurité, la seule chose qui compte vraiment.
Y a t'il des exemples concrets de problèmes ayant été provoqué par cette "fonction mal implémentée" ou "fonction mal interprétée par certain" ?
On peut discuter de tous les libellés présent dans un logiciel et juger de leur pertinence et de leur précision, ça pourrait faire des tonnes d'articles, mais ça ne me parait vraiment pas intéressant. C'est tout.
@macinoe
Tellement peu que l’on continue à en parler deux jours après ?
Tant mieux si vous avez conscience du problème mais ce n’est pas le cas de la majorité. Cet article visait à les prévenir eux du problème, c’est tout.
"Tellement peu que l’on continue à en parler deux jours après ?"
En l'occurence c'est la pertinence de l'article qui fait débat.
Et en plus l'article a été remonté en top en fin de matinée.
"Tant mieux si vous avez conscience du problème mais ce n’est pas le cas de la majorité. Cet article visait à les prévenir eux du problème, c’est tout."
Il faudrait savoir, vous me disiez à l'instant que ce n'était pas un problème mais "une fonction mal implémentée".
@macinroe
Pour la défense de Macg, certains sites ont été bien plus racoleurs avec des titres du type "attention, vous photos stockées sur Google sont publiques".
Non tu es très bien compris. Mais c'est toi qui interprète ça comme un partage public ou privé en fonction du mode. Google n'a jamais dit qu'il s'agissait d'un partage "privé" (mais on est d'accord, leur présentation est assez trompeuse).
A l'origine de Google Photos, la seule solution de partage était d'écrire manuellement une adresse mail ou un numéro de téléphone pour envoyer le lien de partage. C'est juste pour éviter cette étape un peu fastidieuse que Google a proposé l'IHM avec des bulles et les photos des contacts courants pour que ce soit plus rapide. Il n'y a jamais eu de changement dans le mode de partage (ie : un lien, qui dès qu'il est transmis permet à n'importe qui de voir les photos).
Et pour info, c'est bien ce qui est expliqué dans la doc Google Photos...
@LoossSS
Je viens de comprendre la subtilité. Effectivement, la fonctionnalité de Drive qui propose clairement "limiter la consultation du lien à untel et/ou unetelle et personne d'autre" n'existe pas sur Photos. Même si ce que j'ai mis ailleurs sur ce fil reste valable (à vous de prendre la responsabilité de partager "quoi" et avec "qui") ça saute tout de même une étape dans la protection des données perso.
@Laurent S from Nancy
Voilà, c’est ce que je veux dire depuis le tout début. Et je crois que je l’ai dit dans l’article, d’ailleurs.
@Nicolas Furno
Il faut prendre ce mode de fonctionnement en compte et ne partager les photos que de façon temporaire pour le coup. Ce mode de fonctionnement a le mérite de ne pas devoir authentifier celui avec qui on veut partager la photo, il n'y a pas que des inconvénients.
Sinon, question sécurité, je n'ai à ce jour jamais entendu parler de scandale de photos volées chez Google. Y en a-t-il eu façon Jennifer Lawrence ?
Voilà. Ce n'est ni un problème potentiel ni un problème avéré.
Juste une implémentation qui sort peut-être des normes de fait ou des habitudes mais qui n'a aucune conséquence autre que des avantages.
A un moment, on a le droit aussi de se poser les bonnes questions.
Présupposer de la manière de faire les choses sans se préoccuper des fondamentaux comme par exemple à quoi ça doit servir, ça ne mène à rien.
@nicolasf
Je vous mets au defi de deviner une telle URL. Si vous la copier/coller partout, c'est que votre intention est de diffuser la photo
@keff
Imaginons que j’envoie une photo de mon fils sur le pot à ma belle-mère, et que celle-ci la poste aussitôt sur son profil Facebook public. Hop voilà mon lien est devenu public et accessible par un nombre illimité de gens. Certes dans cet exemple ça n’est pas si grave, et encore personnellement j’ai toujours refusé que mes enfants apparaissent sur les réseaux sociaux à leur insu.
@John McClane
Oui, votre belle mère l'a posté, avec l'intention de partager cette photo. Et vous aussi en premier lieu. Quel intérêt pour votre belle mère de partager un lien que personne ne pourrait ouvrir? Ce que je veux dire, c'est que c'est le fonctionnement normal, pas une faille. Après on est libre de ne pas utiliser ce service
@keff
Non, en premier lieu j’aurais partagé la photo avec une seule personne, sans intention que d’autres personnes ne la voient. Le fait que ladite personne puisse la partager à son tour avec le monde entier sans mon accord est là où se situe le problème.
Imaginons un autre exemple : vous envoyez une photo coquine à votre conjoint(e). Aimeriez-vous que pour une raison X ou Y (vengeance, farce, blague, etc.), cette personne puisse la partager avec d’autres personnes en transférant votre lien ?
@John McClane
Vous décrivez un problème de protection contre la copie. Imaginons que vous ayez partagé cette photo via Dropbox, et que seule cette personne puisse y accéder via son compte Dropbox, une personne mal intentionnée pourrait très bien copier et partager cette photo. Imaginons que vous ayez partagé une copie papier, si une personne souhaite la diffuser, elle le peut. etc. Je ne pense pas que le service de Google ait vocation à être un système contre la copie.
@John McClane
> Imaginons un autre exemple : vous envoyez une photo coquine à votre conjoint(e).
> Aimeriez-vous que pour une raison X ou Y (vengeance, farce, blague, etc.), cette
> personne puisse la partager avec d’autres personnes en transférant votre lien ?
En transferant un lien ou en recopiant le contenu, au final de toute façon dès lors que vous diffusez un contenu à quelqu'un, cette personne obtient une copie de ce contenu et, de facto, est en mesure de le rediffuser une copie à son tour.
Si vous voulez que le contenu ne soit pas copiable mais juste visible et uniquement durant une période déterminée, alors utiliser un media qui gère ce mécanisme. Mais il est très difficile d'empêcher qu'un contenu numérique visible soit incopiable et donc rediffussable sans accord préalable, c'est inhérent à la facilité de duplication de tout contenu digital.
C'est donc toujours au final un problème de confiance.
Il existe par exemple des services web fournissant des URL "courts" qui peuvent en plus être protégés par un mot de passe. On peut imaginer donc d'encapsuler l'URL de partage d'une photo dans Google Photos par ce service. Mais cela change quoi au final, si la personne destinataire, à qui vous avez forcément dû confier le mot de passe, fait finalement une copie du contenu, souvent involontairement en fait, avant de la rediffuser, peut-être des années plus tard, cela ne changera rien, la copie est fait, point.
Diffuser, c'est de facto accepter qu'une copie soit dans les mains d'une autre personne.
Pour garder le contrôle, il faut avoir le contrôle sur la source de diffusion, et donc utiliser auto-héberger son service de partage de photos.
Un NAS peut faire ça très bien.
Mais qui ici à envie de devoir contrôler soit même sa sécurité, de supprimer manuellement des droits d'accès à des contacts en qui on a perdu confiance depuis, faire les sauvergardes, assumer les coûts de maintenance matérielle et logicielle ?
On cède le contrôle parce que le prix semble raisonnable en regard du service proposé en échange.
A chacun de voir si le risque que du contenu de sa vie privée se retrouve diffusé sans son accord par erreur ou volontairement lui semble important ou pas.
Sans oublié qu'il appartient à chacun de se poser cette question à chaque fois qu'on *poste* du contenu privé quelque part.
@John McClane
« Imaginons un autre exemple : vous envoyez une photo coquine à votre conjoint(e). Aimeriez-vous que pour une raison X ou Y (vengeance, farce, blague, etc.), cette personne puisse la partager avec d’autres personnes en transférant votre lien ? »
Mais enfin, si la personne dispose de la photo, avec ou sans lien, elle peut la partager avec qui elle veut...
"Non, en premier lieu j’aurais partagé la photo avec une seule personne, sans intention que d’autres personnes ne la voient. Le fait que ladite personne puisse la partager à son tour avec le monde entier sans mon accord est là où se situe le problème."
??
Mais si la première personne peut voir la photo elle peut aussi la télécharger et la transmette à qui elle veut.. c'est juste une question de confiance et ça n'a rien à voir avec une quelconque faille technique.
Qu'est que ça change que la photo soit disponible sous forme d'url, de pièce jointe ou je ne sais quoi.. c'est exactement pareil, la même photo. Et il n' y a que celui qui a la photo ou son url complexe qui peut y avoir accès.
Vraiment je ne vois aucun problème.
@keff
« Quel intérêt pour votre belle mère de partager un lien que personne ne pourrait ouvrir? »
Oui.
Je comprends pas non plus très bien le problème posé dans cette news...
Je me doute bien que si j’envoie un lien vers une photo, tous ceux qui auront ce lien auront accès à la photo.
@john
En gros vous le collez sur le public, mais sans vouloir que cela soit publique.
Ce n'est pas très clair.
Si je colle un texte en public, il sera publique
A mon avis c'est juste pour que ça soit partageable avec tout le monde et pas uniquement avec ceux qui ont un compte Google. Après ça serait bien d'avoir le choix comme dans Google Drive
Si je partage une photo, et que mon ami souhaite la rendre publique, il pourra d’une façon ou d’une autre la rendre publique, que ce soit par l’url que je lui ai donnée, ou en enregistrant la photo dans son propre site et en donnant une autre url... so what ?
Faut qu’on arrête avec les questions de sécurisation à tout va qui ne font que complexifier la vie des utilisateurs ! Et augmenter les post it sur les bureaux ou les applis qui concentrent tous les mdp derrière un seul et une seule appli piratable !
C’est important d’informer l’utilisateur en effet pour le responsabiliser... s’en offusquer, c’est un peu trop !
C'est bien pour partager justement, on sait que n'importe qui ayant le lien pourra y avoir accès.
Il y a plusieurs niveaux de partage, soit nominatif, soit par lien, pour partager facilement un album avec des gens sans compte ou alors de manière semi publique...
Article racoleur et qui montre une incompréhension de la sécurité.
Les partages sont autant « publics » et pas moins sécurisés que :
1/ envoyer un lien avec un mot de passe à côté. La personne qui a reçu ces donnée peut tout autant les partager. De plus l’URL d’accès une fois le mot de passe rentre dans le formulaire aura sensiblement la même forme que l’URL version Google.
2/ partager ses photos par e-mail tout simplement. Le destinataire peut forwarder le mail...
Le seul moyen de sécuriser un peu plus consisterait à envoyer les photos à un compte specific Google. Et encore la personne peut toujours télécharger les photos et les réexpédier.
Qu’on soit bien clair : l’URL générée par Google est impossible à trouver par brute force, en tout cas bien plus difficile que de brute forcer un mot de passe de 8 à 10 caractères.
Donc non il n’y a rien de public dans tout ça sauf à considérer que ce qui est stocker dans le cloud est public... ce qui est une autre question
@chron
> Le seul moyen de sécuriser un peu plus consisterait à envoyer les photos à un compte specific Google.
Ben justement, c’est exactement ce que j’ai fait avec mon exemple. Mais comme expliqué, Google créé en fait un lien public, sans contrôle d’accès et sans en informer l’utilisateur.
@Nicolas c'est ce que je viens de comprendre. Cependant, tu as aussi choisi de poster ce même lien sur le site : la "démonstration" est donc quelque peu racoleuse. Le débat et toutes ces questions sur la sécurité des données perso stockées sur un cloud externe en deviennent presque philosophiques ;)
Toutefois, c’est très utile pour le partage de photos d’un album Google Photos sur un article d3 blog public.
Et une protection systématique empêcherait d’utiliser ces albums derrière un blog ou un site web.
Sinon on peut inviter ses amis et regarde les photos ensemble.
De nos jours on est paradoxalement de plus en plus en contact, mais sans jamais se voir.
@nicolasf
Encore une fois c’est tout autant public qu’un lien avec « contrôle d’accès » (mot de passe).
Imagine toi que le mot de passe est dans le lien.
Plein de techno’s fonctionnent comme ça. Exemple : partage d’un dossier SharePoint.
Oui tu peux forwarder le lien, autant que le contenu d’un mail.
C’est privé car personne ne peut trouver l’URL autant que personne ne peut trouver ton mdp de boîte mail pour accéder à tes données.
@chron
Si le mot de passe est présent par défaut dans le mail, c'est un problème. Sinon, on sort du cadre de la news.
Ce que fait un utilisateur d'un contenu partagé ne m'intéresse pas. Ce qui m'intéresse ici, c'est que Google propose un partage privé qui repose sur une URL publique sans aucun contrôle d'accès. C'est le niveau 0 de la sécurité, alors que Google sait faire les choses correctement avec ses autres services.
Évidemment qu'un Google Doc peut être téléchargé en local et repartagé sans protection par la suite. Mais peu importe ça, à la base il est accessible uniquement par les personnes qui ont été invitées. Il suffirait de faire la même chose avec Google Photos, c'est une demande tout de même légitime…
"Ce qui m'intéresse ici, c'est que Google propose un partage privé qui repose sur une URL publique sans aucun contrôle d'accès. C'est le niveau 0 de la sécurité, alors que Google sait faire les choses correctement avec ses autres services."
Nicolas, ce jugement de valeur n'est basé que sur l'idée que vous vous faites d'un système sécurisé et pas s'il est effectivement efficace.
"Faire les choses correctement" sans se poser aussi la question de l'utilité que ça a n'a pas de sens.
Si tout le monde se cantonnait à faire les choses correctement, de manière académique, Sans rien remettre en question, il n'y aurait aucune innovation..
Et en l'occurence, pour se permettre d'affirmer que le système d'url complexe de Google est "le niveau zero de la sécurité", il faudrait quand même quelques preuves.
Si c'était le cas avec les centaines de millions d'utilisateurs du service, il devrait y avoir quelques exemples non ?
Je dois être très con mais je n'ai pas compris le problème. Tu génères un lien pour partager un fichier, normal que le lien soit public, à toi de faire gaffe à ce que tu partages et à qui tu partages...
Ce qui serait problématique c'est que l'intégralité de ton "cloud" se trouve accessible publiquement, pas juste ce que tu veux partager.
@nicolasf
Ce qui est gênant c’est que vous trompez le lecteur en parlant d’URL public. C’est tout simplement faux. L’URL est justement privée. Après si vous la diffusez partout...
Quand à avoir un « mot de passe » vous n’avez qu’à envoyer l’URL moins les 10 derniers caractères de la clé, et envoyer ça comme « mot de passe » à concaténer...
Il faudrait en effet que Nicolas précise ce qu'il entends par url publique.
C'est le fond du problème car il n'y a en fait pas d'URL publique. Ce serait publique si on pouvait trouver l'URL sans la connaître ce qui n'est pas le cas (via moteur de recherche ou autre)
On peut faire l'analogie avec l'accès à un compte par un login / mot de passe sans double authentification. Le login et le mot de passe sont publiques sauf qu'en théorie personne ne les connait. C'est publique dans le sens où chacun peut tenter sa chance.
L'article est uniquement là pour faire du bashing Google. Quel que soit le mode de sécurisation d'un partage de photo, à partir du moment où l'autre la voit sur son écran, ça veut dire qu'il la possède et qu'il en fait ce qu'il veut. Un peu comme les copies d'écran des images soit disant éphémères de snapchat.
@baklawa
Tout à fait d’accord.
La fonctionnalité est annoncée comme telle sans ambiguïté. « Seul les utilisateurs ayant le lien peuvent accéder au contenu ».
Fonctionnalité présente chez Google, Dropbox, OneDrive, SharePoint etc.
Arrêtons de trouver des prétextes pour basher Google (même si tout n’est pas rose on est d’accord).
@bibi81
Non elle n’est pas bulle en effet. Mais en réalité elle est plus faible que celle de casser un mot de passe.
Pages