Très mauvaise semaine pour Google qui a annoncé hier soir la fermeture prochaine de son réseau social Google+ après la découverte au printemps dernier d'une faille de sécurité majeure qui a compromis toutes les données personnelles des utilisateurs.
Apparemment, les utilisateurs de Google+ n'étaient pas les seuls à ne pas prêter attention au réseau social.
Selon un article paru dans le Wall Street Journal
,
Google
a découvert un peu plus tôt cette année – en mars 2018 - un « problème logiciel » qui a permis à des développeurs tiers d'accéder aux données privées de 500 000 utilisateurs depuis 2015, notamment « les noms complets, adresses email, dates de naissance, sexe, photos de profil, lieux de résidence, profession et statut relationnel ».
Ça fait beaucoup de données exposées. Et pour empirer les choses, Google, qui a donc découvert cette vulnérabilité au printemps dernier, et a décidé de ne le dire à personne, rapporte le Wall Street Journal. Une pratique très discutable alors que Google ne se prive pas de publier les failles de ses concurrents au bout de 90 jours. Selon le journal, le géant de la recherche a déclaré dans une note de service qu'il avait bloqué la divulgation de l’information d'atteinte à la vie privée pour éviter tout examen public et réglementaire. Une décision en totale contradiction avec le RGPD européen, auquel la firme de Mountain View devra répondre comme l'a expliqué le secrétaire d'Etat au numérique, Mounir Mahjoubi, ce matin dans la matinale de France Inter. Google a également déclaré au Wall Street Journal qu'il s'est demandé « si nous pouvions identifier avec précision les utilisateurs à informer, s'il y avait des preuves d'utilisation abusive et si un développeur ou un utilisateur pouvait prendre des mesures en réponse, (et) si aucune de ces conditions n'était respectée ici ».
Une inertie inquiétante
Mais la société californienne a finalement décidé de faire quelque chose au sujet de cette vulnérabilité.
Dans un article de blog consacré à son programme
Project Strobe
, qui est un « examen en profondeur des conditions d'accès des développeurs tiers aux données des comptes Google et des terminaux Android », Google a annoncé qu'il comptait fermer le service gratuit Google+ d'ici août en raison des « défis importants » liés au maintien du réseau social. L'édition entreprise utilisée par les clients G-Suite ne devrait pas être affectée par ce changement.
Dans le post, Google admet que Google+ « n'a pas connu une large adoption de la part des utilisateurs ou des développeurs, et a vu une interaction limitée des utilisateurs avec les applications ». Il est à noter que 90 % des sessions utilisateurs de Google+ durent moins de cinq secondes.
Un réseau peu utilisé ?
Mais cet arrêt brutal n'est pas seulement le résultat d'un faible nombre d'utilisateurs actifs par jour. C'est aussi dû au fait que Google a permis aux développeurs d'accéder aux champs de profil publics et privés. Bien que Google n'ait trouvé aucune preuve que les développeurs aient abusé de cet accès non-intentionnel et corrigé le bogue en mars, la firme avait choisi de garder cette information confidentielle, même si Google+ n'est pas très populaire.
En plus de fermer le service, Google met également en œuvre plusieurs dispositifs de sécurité supplémentaires pour ses services, notamment :
- La fin des permissions granulaires pour les comptes Google ;
- La limitation des types d'applications autorisées à accéder à Gmail ;
- La limitation de la capacité des applications à recevoir le journal des appels et les autorisations SMS sur les appareils Android ; et
- La fin des interactions avec les données contacts via l'API Android Contacts.
Google devra encore répondre à beaucoup de questions, dont certaines pourraient être abordées sur scène lors de l'événement Made By Google où le Pixel 3 devrait faire ses débuts.
Un modèle attaqué de toutes parts
Google+ compte toujours des millions d'utilisateurs et toute violation qui affecte des données privées est majeure. Et cette information soulève une question : Si Google a caché cette brèche au public, comment savoir s'il n'y en a pas d'autres ? Le modèle d'affaires de Google est basé sur l’exploitation des données personnelles et la confiance, et cacher une vulnérabilité potentiellement dangereuse pendant six mois n'est pas la meilleure façon de conserver cette martingale.