Les données de 500 000 utilisateurs du réseau social de Google ont été exposées du fait d’un bug d’une API. Cette faille n’a pas, selon l’entreprise, été exploitée. Mais Google fait le choix de fermer la partie grand public de Google+ et renforce ses règles en termes d’accès aux API et de permissions.
Si Google durcit ses règles en matière d’accès par des applications tierces aux données de ses utilisateurs, c’est avant tout pour noyer le poisson. En effet, dans le même communiqué, publié en même temps qu’un article du Wall Street Journal rapportant la nouvelle, Google annonce avoir rencontré un problème de sécurité avec l’API People de Google+.
Celle-ci a exposé des données des profils Google+ de quelque 500000 utilisateurs, données qui auraient dû rester privées. « Ces données sont limitées aux champs statiques facultatifs du profil Google+, notamment le nom, l'adresse e-mail, la profession, le sexe et l'âge. Il n'inclut pas les autres données que vous avez publiées ou connectées à Google+ ou à tout autre service, telles que les posts Google+, les messages, les données de compte Google, les numéros de téléphone ou le contenu de G Suite » assure Mountain View, qui ajoute que le bug a été patché en mars 2018,
La faille pourrait avoir été causée par l’interaction de l’API People avec une modification du code du réseau social, sans qu’aucune date ne soit avancée. Selon le Wall Street Journal, le bug remonterait à 2015. Google explique en outre ne pas être en mesure d’identifier les utilisateurs affectés, mais qu’une analyse détaillée a permis d’estimer que le bug a potentiellement affecté 500000 comptes Google+ et que « jusqu'à 438 applications peuvent avoir utilisé cette API ». Toutefois le géant souligne n’avoir « aucune preuve » d’une utilisation abusive de l’API.
De nouvelles restrictions
Première conséquence de cette découverte (et de sa divulgation après que Google ait visiblement tenté de passer l’affaire sous silence), Google+ vit ses derniers instants. Oui, la mort de Google+ est un marronnier, mais cette fois-ci, c’est la bonne. D’une part le réseau social « n'a pas été largement adopté par les consommateurs ou les développeurs » et de l’autre « nos API Google+ sont difficiles à développer et à maintenir ». En conséquence de quoi Google+ dans sa partie grand public sera fermée dans les dix mois à venir, le temps que ses utilisateurs téléchargent ou migrent leurs données.
Autre conséquence, quoique déjà abordée par Google auparavant, le géant va renforcer les règles d’accès aux données des utilisateurs de ses services. A commencer par un nouvel examen des applications demandant l’accès à ces données via Gmail, Google ne tolérant plus que celles apportant de nouvelles fonctionnalités ou améliorant celles existantes de la messagerie. En outres, les permissions quant à l’accès aux SMS et aux journaux d’appels sur Android seront limitées à la seule app définie par défaut comme celle servant à passer des appels et à envoyer des SMS. De même, l’accès aux contacts sera limité. Enfin, les fenêtres mentionnant les permissions seront plus explicites, chaque demande de permission d’une app ayant dès lors sa propre boîte de dialogue plutôt qu’être toutes comprises dans une unique fenêtre.