Skip to main content

Google vient d’annoncer la fermeture de la version grand public de son réseau social Google+ après avoir corrigé un bug exposant des données privées de 500 000 comptes.

Google a annoncé la fermeture du réseau social Google+ après que les ingénieurs de la société eurent découvert un bogue d’API qui a exposé des données de profil privées de plus de 500 000 utilisateurs de Google+.

Le bug se trouvait dans l’API Google+ People

La société a déclaré que le bug se situait dans l’API Google+ People. Par défaut, les utilisateurs de Google+ peuvent accorder l’accès à leurs données de profil à des applications tierces. En effet, comme avec Facebook et Twitter, les utilisateurs de Google+ peuvent également autoriser une application tierce à accéder aux informations de profil public des amis de l’utilisateur.

Dans un article de blog, Ben Smith, associé Google et vice-président de l’ingénierie chez Google, a déclaré que la faille permettait aux applications tierces d’accéder également aux données des utilisateurs marquées comme privées, et pas seulement aux données publiques que les applications auraient normalement été autorisées à utiliser.

Selon la documentation de l’API de profil Google+, les champs de profil peuvent stocker de nombreux détails sensibles sur les utilisateur, tels que le nom, adresse e-mail, profession, sexe, âge, surnom, date de naissance, pour n’en nommer que quelques-uns.

Le bug a été corrigé en mars 2018

Google a déclaré avoir découvert et immédiatement corrigé le bug de l’API en mars 2018.

« Nous pensons que cela s’est produit après le lancement, suite à l’interaction de l’API avec un changement ultérieur de code Google+ », a déclaré Smith. La société a déclaré n’avoir trouvé « aucune preuve qu’un développeur soit au courant de ce bug ou de l’utilisation abusive de l’API, ni aucune preuve de l’utilisation abusive des données du profil ».

Google a indiqué qu’il ne pouvait pas déterminer quels utilisateurs étaient concernés par ce bug, car l’API avait été conçue pour conserver les journaux pendant seulement deux semaines et n’avait pas accès aux données historiques au delà.

« Cependant, nous avons effectué une analyse détaillée au cours des deux semaines précédant la correction du bug et, à partir de cette analyse, les profils de plus de 500 000 comptes Google+ ont potentiellement été affectés », a déclaré Smith. « Notre analyse a montré que jusqu’à 438 applications ont pu utiliser cette API. »

Le bug a peut-être provoqué une fuite de données utilisateur depuis 2015

Un article du Wall Street Journal publié au même moment dans le blog de Google affirmait que le bug de l’API était bien pire et qu’il aurait pu laisser filtrer des données d’utilisateurs depuis 2015, ce qui n’a été découvert que lorsque les ingénieurs de Google ont commencé à analyser les sites de Google en vue du Règlement général sur la protection des données de l’UE. Selon le même rapport, Google aurait couvert l’incident au lieu de le rendre public, craignant « un intérêt immédiat des autorités réglementaires ».

Google rejoint désormais Twitter et Facebook dans la révélation d’une violation de la confidentialité au cours des trois dernières semaines. Des poursuites ont été engagées contre Facebook après l’annonce de son infraction de sécurité et des enquêtes sont en cours dans l’UE.

Quant à Google+, le géant de la recherche ne le regrettera pas beaucoup car le service n’a jamais séduit. Google a déclaré que 90% de toutes les sessions Google+ ne duraient pas plus de cinq secondes, confirmant ainsi les rumeurs selon lesquelles le site serait davantage une ville fantôme comparé à Twitter et Facebook.

Fin de Google+ en août 2019

Smith a déclaré que Google+ cesserait ses activités au cours des dix prochains mois, période au cours de laquelle les utilisateurs pourront télécharger ou migrer leurs données, et que le site serait définitivement supprimé en août 2019.

Dans le cadre de son article de blog sur la divulgation des violations, Google a également annoncé de nouvelles fonctionnalités de confidentialité pour les comptes Google et les données des utilisateurs.