Un demi million de comptes Google+ compromis: le réseau social ferme ses portes
Les données privées de 500'000 utilisateurs de Google+ ont été exposées via des applications tierces. Google n’a pas communiqué la faille au moment de sa découverte. La firme prend aujourd’hui des mesures et ferme Google+.
Après Facebook, c'est au tour de Google d’être pointé du doigt pour une brèche de sécurité. Une faille affectant son réseau social Google + a compromis les données de 500'000 comptes. Le nombre d’utilisateurs concernés est certes bien moindre que dans le cadre du scandale Facebook-Cambridge Analytica ou de la récente faille ayant compromis 50 millions de comptes Facebook. Reste que Google n’avait visiblement pas l’intention de communiquer sur cet incident.
Le Wall Street Journal, qui a pu consulter des documents internes, fait savoir que la firme de Mountain View a découvert et corrigé la faille en mars 2018. Elle aurait ensuite opté pour ne pas la divulguer, de peur que cela n'attire l'attention des régulateurs et ne porte atteinte à sa réputation. Google a attendu le rapport du Wall Street Journal pour donner des détails au sujet de cette faille.
Apps tierces accédant aux données privées
VP of Engineering de la firme, Ben Smith explique dans une annonce officielle que le bug touchait l’API Google+ People, permettant à des applications tierces d’avoir accès aux données privées du profil des utilisateurs, alors que l’API n’était censée accéder qu’aux données marquées comme étant publiques. Les données exposées sont potentiellement le nom, la profession ou l'âge mais pas les numéros de téléphone ou toute autre information, selon Google. Qui précise que rien n’indique une exploitation malveillante du bug découvert.
Pour rappel, c’est également via la connexion d’une app tierce que Cambridge Analytica, firme d’analyse de données impliquée dans la campagne de Trump, avait pu récolter les données de 50 millions de profils Facebook. Le réseau social créé par Mark Zuckerberg avait en conséquence limité fortement les échanges de données avec des applications tierces. Google a également annoncé des mesures.
Vers un contrôle plus strict
Premièrement, la firme de Mountain View va fermer son réseau Google+, rappelant que dernier n’avait jamais attient la popularité escomptée auprès des internautes et des développeurs tiers. En outre, Google va davantage contrôler l’accès à ses services via des API. Les applications tierces devront obtenir la permission séparément pour chaque service qu'elles utilisent. La firme limite également l'accès aux services Gmail à certaines applications, comme les clients de messagerie, les suites de productivité et les gestionnaires de sauvegarde de messagerie. De plus, Google a publié de nouvelles directives pour les développeurs. Les apps utilisant l'API Gmail seront soumis à un processus de révision plus stricte dès janvier 2019, avec un focus particulier sur les aspects de sécurité et de gestion des données utilisateurs.