Entre 2015 et mars 2018, des développeurs malintentionnés ont pu accéder en toute discrétion aux profils des abonnés Google+ afin d’en siphonner les données. Le Wall Street Journal explique que ce sont les informations de centaines de milliers d’utilisateurs du réseau social (496 951 précisément…) qui ont été ainsi exposées. Et si ce n’était pas suffisamment grave, Google aurait sciemment décidé de ne rien dire lors de la découverte de cette faille, au printemps.
Le moteur de recherche aurait tout simplement étouffé l’affaire en partie par peur de s’attirer les foudres des régulateurs et pour ne pas entacher sa réputation… La vulnérabilité, découverte en mars, a été corrigée rapidement mais révéler l’histoire aurait été une catastrophe : à l’époque, tous les yeux étaient braqués sur Facebook et le scandale Cambridge Analytica.
La décision de laisser couler a été prise au plus haut niveau : le service juridique de Google a conseillé à Sundar Pichai, le CEO de l’entreprise, de ne rien dire. D’après un porte-parole du moteur de recherche, rien ne montre que des développeurs tiers aient pu tirer profit de cette faille qui touche une API de Google+ ; néanmoins, il dit aussi qu’il ne peut en être sûr et certain, ce qui n’est guère rassurant.
438 applications auraient pu avoir un accès non autorisé aux données des utilisateurs. Plus embêtant encore, parmi les victimes potentielles se trouvent des abonnés à G Suite, la suite d’outils orientés pro utilisée surtout dans les entreprises et dans le secteur de l’éducation.
Parmi les informations qui ont pu tomber dans l’escarcelle des malandrins, se trouvent les noms au complet, les adresses e-mail, les dates de naissance et genre, les photos de profils, l’adresse postale, l’emploi occupé, les statuts postés, les messages directs. En gros, la totalité ou presque des données mais Google n’est pas en mesure de le déterminer : la société ne conserve qu’un jeu limité des logs d’activité.
Google a décidé de fermer purement et simplement les fonctions grand public de son réseau social, ce qui équivaut à lui donner la mort. Certes, Google+ avait pris l’allure ces dernières années d’une ville fantôme et sa disparition ne sera pas une grande perte. Reste le problème épineux des données dans la nature.
En contre-feu, l’entreprise devrait annoncer son intention de mieux protéger les données de ses utilisateurs. Ces derniers mois, le projet Strobe (une équipe d’une centaine d’ingénieurs, de directeurs produit et d’avocats) mène des audits internes afin de nettoyer la jungle des API et restreindre leur accès par les développeurs.
Voilà en tout cas qui tombe bien mal alors que Google doit présenter demain mardi un gros paquet de nouveautés matérielles.
Mise à jour — Dans un billet paru sur son blog, Google confirme la découverte d’une faille de sécurité dans une API de Google+ en mars de cette année, qui a été bouchée dans la foulée. Cette vulnérabilité, le fait que les sessions de 90% des utilisateurs de Google+ durent moins de 5 secondes et la volonté de faire le ménage dans les API poussent le moteur de recherche à fermer son réseau social au grand public.
L’entreprise écrit n’avoir trouvé aucune preuve qu’un développeur ait été au courant de cette vulnérabilité, et aucune preuve que des données aient été subtilisées.
Dans le cadre du projet Strobe, Google va aussi ajouter plus de granularité aux permissions données aux applications. L’utilisateur devra valider chaque autorisation d’accès, plutôt que de valider « par lot ».
