Ouvrir le menu principal

MacGeneration

Recherche

Google+ ferme ses portes en raison d’une faille étouffée par Google [màj]

Mickaël Bazoge

lundi 08 octobre 2018 à 18:18 • 61

Ailleurs

Entre 2015 et mars 2018, des développeurs malintentionnés ont pu accéder en toute discrétion aux profils des abonnés Google+ afin d’en siphonner les données. Le Wall Street Journal explique que ce sont les informations de centaines de milliers d’utilisateurs du réseau social (496 951 précisément…) qui ont été ainsi exposées. Et si ce n’était pas suffisamment grave, Google aurait sciemment décidé de ne rien dire lors de la découverte de cette faille, au printemps.

Le moteur de recherche aurait tout simplement étouffé l’affaire en partie par peur de s’attirer les foudres des régulateurs et pour ne pas entacher sa réputation… La vulnérabilité, découverte en mars, a été corrigée rapidement mais révéler l’histoire aurait été une catastrophe : à l’époque, tous les yeux étaient braqués sur Facebook et le scandale Cambridge Analytica.

La décision de laisser couler a été prise au plus haut niveau : le service juridique de Google a conseillé à Sundar Pichai, le CEO de l’entreprise, de ne rien dire. D’après un porte-parole du moteur de recherche, rien ne montre que des développeurs tiers aient pu tirer profit de cette faille qui touche une API de Google+ ; néanmoins, il dit aussi qu’il ne peut en être sûr et certain, ce qui n’est guère rassurant.

438 applications auraient pu avoir un accès non autorisé aux données des utilisateurs. Plus embêtant encore, parmi les victimes potentielles se trouvent des abonnés à G Suite, la suite d’outils orientés pro utilisée surtout dans les entreprises et dans le secteur de l’éducation.

L’interface de Google+ a été rafraîchie en janvier 2017.

Parmi les informations qui ont pu tomber dans l’escarcelle des malandrins, se trouvent les noms au complet, les adresses e-mail, les dates de naissance et genre, les photos de profils, l’adresse postale, l’emploi occupé, les statuts postés, les messages directs. En gros, la totalité ou presque des données mais Google n’est pas en mesure de le déterminer : la société ne conserve qu’un jeu limité des logs d’activité.

Google a décidé de fermer purement et simplement les fonctions grand public de son réseau social, ce qui équivaut à lui donner la mort. Certes, Google+ avait pris l’allure ces dernières années d’une ville fantôme et sa disparition ne sera pas une grande perte. Reste le problème épineux des données dans la nature.

En contre-feu, l’entreprise devrait annoncer son intention de mieux protéger les données de ses utilisateurs. Ces derniers mois, le projet Strobe (une équipe d’une centaine d’ingénieurs, de directeurs produit et d’avocats) mène des audits internes afin de nettoyer la jungle des API et restreindre leur accès par les développeurs.

Voilà en tout cas qui tombe bien mal alors que Google doit présenter demain mardi un gros paquet de nouveautés matérielles.

Mise à jour — Dans un billet paru sur son blog, Google confirme la découverte d’une faille de sécurité dans une API de Google+ en mars de cette année, qui a été bouchée dans la foulée. Cette vulnérabilité, le fait que les sessions de 90% des utilisateurs de Google+ durent moins de 5 secondes et la volonté de faire le ménage dans les API poussent le moteur de recherche à fermer son réseau social au grand public.

L’entreprise écrit n’avoir trouvé aucune preuve qu’un développeur ait été au courant de cette vulnérabilité, et aucune preuve que des données aient été subtilisées.

Dans le cadre du projet Strobe, Google va aussi ajouter plus de granularité aux permissions données aux applications. L’utilisateur devra valider chaque autorisation d’accès, plutôt que de valider « par lot ».

Les nouvelles demandes d’autorisation.

Rejoignez le Club iGen

Soutenez le travail d'une rédaction indépendante.

Rejoignez la plus grande communauté Apple francophone !

S'abonner

macOS Snow Sequoia : une fausse bonne idée ?

08:00

• 56


DEVONthink 4 fait une place pour les intelligences artificielles génératives

06:00

• 22


Concours : un NAS Qnap TS-233 équipé de 2 disques WD Red 6 To à gagner !

05/04/2025 à 11:00

• 700


Nintendo retarde les précommandes de la Switch 2 aux États-Unis, à cause de Donald Trump

05/04/2025 à 08:51

• 64


Silence : une application pour bloquer les appels indésirables sans abonnement

05/04/2025 à 08:47

• 104


Sortie de veille : Apple Intelligence finalement dispo, l’attente récompensée ?

05/04/2025 à 06:00

• 14


L’administration Trump aurait-elle utilisé l’IA pour créer la formule des nouvelles taxes ?

04/04/2025 à 20:30

• 48


Promo : l'écran 4K LG UltraFine 32 avec une colonne ERGO est à 423 € (-250 €)

04/04/2025 à 20:30

• 30


Donald Trump accorde un délai supplémentaire de 75 jours à TikTok

04/04/2025 à 19:45

• 19


N'attendez pas Linux sur les M4 de sitôt : c'est visiblement douloureusement compliqué

04/04/2025 à 16:30

• 35


Microsoft a 50 ans

04/04/2025 à 15:39

• 54


Apple déploie l'audio spatial en Dolby Atmos sous Windows (mais il faut payer)

04/04/2025 à 15:00

• 13


MacBook Air : nouvelle promo sur le M4, le M2 encore au tarif canon de 899 €

04/04/2025 à 13:48

• 9


Pages ne sait plus publier un livre directement sur Apple Books

04/04/2025 à 12:45

• 9


Microsoft vend son mini PC dans le cloud, pour Windows 365

04/04/2025 à 11:15

• 23


Le SSD USB4 Corsair EX400U, parfait pour les Mac et les iPhone, en promotion

04/04/2025 à 09:45

• 11