Google ferme Google+ après la découverte d'une faille de sécurité

Adieu Google+ !

Google va bientôt fermer la version utilisateur de Google+, d’ici les dix prochains mois. Cette décision faite suite à la révélation d’une faille de sécurité qui a exposé les data des profils utilisateurs du réseau. Cette brèche a d’ailleurs été résolue en mars 2018.
Google a déclaré que Google+ connaît actuellement « une utilisation et un engagement faible ». Et que plus de 90% des sessions des utilisateurs de Google+ duraient moins de cinq secondes. Néanmoins, l’entreprise prévoit de garder le service actif pour les utilisateurs professionnels, qui l’emploient pour faciliter leurs conversations avec leurs collaborateurs. Dans le cadre de cette utilisation, Google déclare déployer que de nouvelles fonctionnalités. De plus, le géant du web se concentre sur un « réseau social d’entreprise sécurisé ». C’est un peu bizarre quand on sait que cette annonce s’ajoute à la nouvelle des profils utilisateurs laissés sans protection…

Brèche de sécurité

En effet, dans une publication postée sur leur blog, Google a cette semaine annoncé l’exposition des informations personnelles de centaines de milliers d’utilisateurs de son réseau social. La nouvelle est initialement apparue dans le Wall Street Journal, avant cette annonce. Ainsi, des informations tels que des noms, adresses emails, emplois, genre et âges ont été exposés. Même quand les data étaient en privé et non en public. Néanmoins, Google affirme qu’il n’y a aucune preuve permettant d’avancer qu’un développeur d’une application tierce ait été au courant du bug. Cette faille de sécurité, qui affectait une API accessible par des centaines de développeurs, était active de 2015 à 2018.
L’entreprise déclare l’avoir comblé en mars 2018, peu après avoir été informé de son existence. Le rapport du Wall Street Journal indique que Google a choisi de ne pas reporter l’incident. De peur d’un « intérêt immédiat » qui confondrait Google avec Facebook, selon une source proche de l’incident. À l’époque, Facebook venait juste de révéler l’incident Cambridge Analytica.

Renforcer la protection

En plus de la suppression progressive de Google+, l’entreprise a annoncé de nouveaux ajustements quant à la confidentialité des autres services de Google. Ainsi, les modifications apportées aux API limiteront l’accès des développeurs aux data sur les appareils Android et sur Gmail. Les développeurs ne pourront plus recevoir d’autorisations de journal d’appel et de SMS sur Android. Et les data d’interactions de contact ne seront plus accessibles vis l’API Android Contacts. C’est cette même API qui fournissait des données d’interactions basiques, comme la personne à laquelle vous avez écrit en dernier. Cette dernière permission fut aussi révoquée.
Quand aux changements sur Gmail, l’entreprise est entrain de mettre à jour sa politique de données utilisateurs pour la version utilisateur de la messagerie. Cela imposera des limites aux applications, et leur champ d’accès aux données utilisateurs. Seules les applications améliorant directement les fonctionnalités d’emailing – comme les clients de messagerie, services de backup et de productivité (CRM par exemple) – pourront avoir accès à ces data.
Tout développeur qui y aura accès devra passer des évaluations et accepter les nouvelles règles en matière de gestion de données. Comme ne pas les transférer, ou les vendre pour des publicités ciblées, des études de marché, du suivi de campagnes emailing etc.

Confidentialité

Google avait déjà tenté cette année de dissiper les inquiétudes relatives à la confidentialité. En effet, le Wall Street Journal avait détaillé combien il était normal pour les développeurs d’applications tierces de pouvoir lire et d’analyser les messages des utilisateurs Gmail. À l’époque, Google déclara que les utilisateurs devraient vérifier lesquelles de leurs applications avaient accès à leurs comptes. Et révoquer les accès si nécessaire.
L’année dernière, Google a annoncé stopper ses pratiques bien connues de scan de contenu des utilisateurs Gmail à des fins marketing. Néanmoins, l’entreprise stocke toujours énormément de data avec lesquelles elle peut faire de la publicité ciblée. Comme l’historique de recherche, les vues YouTube et d’autres actions sur Chrome.
Ces changements les plus récents sont dûs à un mouvement interne de Google : le Project Strobe. Celui-ci incluait notamment une évaluation de l’accès aux développeurs d’applications tierces aux data des comptes Google et des appareils Android. Et de la « philosophie (de Google) concernant les accès aux data de ces applications ».

Partagez l'article

Partager sur facebook
Partager sur twitter
Partager sur linkedin
Partager sur email