Google+ vous dit au revoir. Le géant de la Silicon Valley a décidé de fermer son réseau social tel que rapporté par le consortium d’entreprises Alphabet dont Google Inc La décision vient juste sept mois après que le système a détecté une faille de sécurité qui aurait exposé les données privées de centaines de milliers d’utilisateurs, selon The Wall Street Journal (WSJ) citant des documents auxquels il a eu accès et les sources au courant des faits.
Google + se ferme après avoir reconnu qu’une brèche de sécurité a touché un demi-million d’utilisateurs
L’article précise qu’un bogue dans le logiciel Google+ a causé l’exposition des informations d’au moins un demi-million d’utilisateurs à des développeurs externes entre 2015 et mars 2018. L’entreprise aurait préféré ne pas le signaler en raison de l’examen réglementaire et des dommages qu’il aurait pu causer à sa réputation, et aurait simplement identifié et résolu le problème. Google a mis en danger les données privées de plus de 500 000 comptes utilisateurs sur son réseau social Google+. Le géant de l’Internet a décidé de ne pas rendre le problème public par crainte d’un contrôle réglementaire, rapporte le quotidien américain The Wall Street Journal, qui cite des sources anonymes.
Le nom, l’adresse électronique, la profession, le sexe et l’âge d’un demi-million d’utilisateurs ont été exposés.
La société a indiqué que les données exposées se limitaient aux champs statiques et facultatifs du profil Google+ des utilisateurs, y compris le nom, l’adresse électronique, la profession, le sexe et l’âge.
En outre, ils disent qu’ils n’ont pas trouvé de « preuve » qu' »aucun développeur n’était au courant de ce bogue ou a abusé de l’API, et il n’y a aucune preuve que les données du profil a été mal utilisé. Dans un rapport interne publié à la suite de l’incident, Google a déclaré que la divulgation de cette atteinte à la sécurité déclencherait « un intérêt réglementaire immédiat » et pourrait conduire à des comparaisons avec la fuite massive des données des utilisateurs de Facebook vers Cambridge Analytica.
Selon le WSJ, le directeur exécutif de Google, Sundar Pichai, a été informé à l’époque qu’un comité interne avait pris la décision de ne pas informer les utilisateurs de l’existence d’une faille de sécurité.
Cette décision a entraîné une baisse de 2,6 % de l’entreprise sur le marché boursier, le pire résultat depuis juillet tombant à 1 131 $ par action..
Projet Strobe : l’audit interne qui a trouvé la faille de sécurité
Comme l’entreprise l’a annoncé dès la publication du rapport du JSM, elle a pris un certain nombre de mesures à cet égard. Plus tôt cette année, ils ont décidé d’évaluer à partir de zéro le fonctionnement de leurs API ainsi que la structure et les permissions que des tiers ont sur eux. C’est-à-dire, une sorte d’audit interne pour analyser la sécurité et la confidentialité de ses produits et services.
C’est ainsi qu’ils ont découvert l’erreur dans l’API Google+. Cette erreur permettait aux applications tierces d’accéder aux champs de profil partagés avec l’utilisateur, mais non marqués comme publics. Ces données sont par exemple le nom, l’anniversaire, le genre, la photo de profil… La liste complète est assez longue, mais ne comprend pas de données relativement sensibles, telles que le contenu des messages privés, le contenu de GSuite ou les comptes bancaires. Google estime que cette erreur est présente après le lancement de Google+, à la suite d’un changement dans le code du réseau social et l’API. Ils affirment également qu’ils ne croient pas qu’un développeur était au courant de l’erreur ou que les données des utilisateurs ont été utilisées avec une intention malveillante. Malgré cela, nous devons garder à l’esprit qu’il existe également 438 applications qui ont utilisé cette API sur environ 500 000 comptes.
Quatre mesures de Google pour atténuer le problème
Malgré la gravité relativement faible du problème selon Google, la première chose qu’ils feront est de fermer le réseau social. En raison du manque de sécurité et du peu d’adoption en tant que réseau social, ils ont décidé de le combler dans un délai de dix mois. Au cours des dix prochains mois, des outils de migration et d’exportation de données seront proposés afin que les utilisateurs puissent quitter la plate-forme.
Comme deuxième mesure de sécurité, ils encourageront l’utilisation d’outils plus granulaires pour accorder des permissions aux applications tierces. C’est-à-dire que lorsqu’une application tierce sous Android ou sur le web veut avoir accès au compte Google, elle se verra accorder des permissions plus spécifiques et seulement à certaines zones que l’utilisateur choisit. De cette façon, les applications n’ont pas accès à toutes les informations de l’utilisateur alors qu’elles n’en ont vraiment besoin qu’en partie.
Après l’octroi des permissions, l’accès à Gmail sera désormais plus limité à certaines applications. Il est incroyable qu’en 2018 une application caméra par exemple puisse avoir accès à vos emails, mais c’est effectivement possible. Google veille désormais à ce que seuls les gestionnaires de messagerie, les gestionnaires de stockage en nuage et autres puissent accéder aux données Gmail de l’utilisateur.
Enfin, en ce qui concerne les permissions liées aux contacts, Google limitera également les types d’applications qui peuvent avoir accès aux contacts, à l’historique des appels ou aux SMS par exemple. Au cours des prochains mois, ils s’assureront d’ajouter plus de contrôles et de limitations aux permissions des comptes d’utilisateurs.
Comme l’entreprise l’a indiqué, cette faille de sécurité dans le service Google+ a été découverte en mars 2018. Ils n’ont pas décidé de le rendre public parce qu’ils estimaient qu’il n’exposait pas l’information pertinente sur les utilisateurs.
