Samantha - Season 1 | Beyblade Burst Evolution Episode 20 English Dub | Fantozzi
publicité

Google : l'API de Google+ exposait les données de plus de 500.000 utilisateurs


Technologie : Le géant de la recherche en ligne annonce l'arrêt de ce service de réseau social, et assure n'avoir pas trouvé de preuve que les données des utilisateurs ont été dérobées.

Google a annoncé qu'il fermait le réseau social Google+ après que les ingénieurs de l'entreprise aient trouvé un bug dans son API qui aurait pu exposer certaines données de profil privé de plus de 500 000 utilisateurs de Google+.


Le bug se trouvait dans l'API Google+ People

La société explique que le bug était localisé dans l'API Google+ People. Par défaut, les utilisateurs de Google+ peuvent donner accès à leurs données de profil à des applications tierces. Tout comme avec Facebook et Twitter, les utilisateurs de Google+ peuvent également permettre à une application tierce d'accéder aux informations du profil public des amis d'un utilisateur.

Dans un billet de blog, Ben Smith, chercheur chez Google et vice-président de l'ingénierie, a déclaré que le bug permettait aux applications tierces d'accéder également aux données des utilisateurs qui étaient considérées comme privées. Bref, ces applications avaient accès à d'autres données que les données publiques qu'elles auraient été normalement autorisées à utiliser.

Selon la documentation de l'API Profil Google+, les champs de profil peuvent stocker tout un ensemble de données sensibles tels que le nom, l'adresse e-mail, la profession, le sexe, l'âge, le surnom ou l'anniversaire, pour n'en citer que quelques-uns.

Le bug a été corrigé en mars 2018

Google mentionne avoir découvert et corrigé immédiatement le bug de l'API en mars 2018.

"Nous pensons que cela s'est produit (...) suite à l'interaction de l'API avec un changement de code ultérieur de Google+" a déclaré Ben Smith. La société a déclaré qu'elle n'avait trouvé "aucune preuve qu'un développeur était au courant de ce bug ou abusait de l'API, et nous n'avons trouvé aucune preuve qu'une donnée de profil ait été mal utilisée".

Google n'a pas pu déterminer quels utilisateurs ont été affectés par ce bug car l'API a été conçue pour conserver les journaux de connexion pendant seulement deux semaines, et qu'elle n'a pas eu accès à l'historique des données plus longtemps que cela.

"Cependant, nous avons effectué une analyse détaillée au cours des deux semaines qui ont précédé la correction du bug, et à partir de cette analyse, les profils de plus de 500.000 comptes Google+ ont été potentiellement affectés" a déclaré Ben Smith. "Notre analyse a montré que jusqu'à 438 applications ont pu utiliser cette API."

Le bug pourrait avoir divulgué des données d'utilisateur depuis 2015

Un article du Wall Street Journal publié en même temps que l'article de blog de Google affirmait lui que le bug de l'API était bien pire et qu'il aurait pu provoquer des fuites de données d'utilisateurs depuis 2015. L'article mentionne par ailleurs que la découverte de ce bug n'est pas fortuite, mais qu'elle a été provoquée par le travail des ingénieurs de Google en vue de la mise en conformité des services de la société pour se conformer au RGPD. Le même article mentionne que Google a couvert l'incident au lieu de le rendre public, craignant "un sujet réglementaire immédiat".

Sur ce terrain, Google rejoint désormais Twitter et Facebook qui ces trois dernières semaines ont fait part de fuites de données sensibles. Facebook est désormais l'objet d'une enquête sur ce dossier, et une plainte a également été déposée contre la société.

Quant à Google+, un service qui n'a jamais trouvé son public, sa fin est proche. Google a déclaré que 90 % des sessions Google+ ne durent pas plus de cinq secondes, confirmant les rumeurs selon lesquelles le site était devenu une ville fantôme, en comparaison par exemple avec le trafic de Twitter et Facebook.

Google+ prendra sa retraite en août 2019

Ben Smith a indiqué que Google+ serait en voie de fermeture au cours des dix prochains mois, période pendant laquelle les utilisateurs pourront télécharger ou migrer leurs données. Le site sera définitivement stoppé en août 2019.

Dans le cadre de son blog de divulgation des violations de données, Google a également annoncé de nouvelles fonctionnalités de confidentialité pour les comptes Google et les données des utilisateurs.

A lire aussi :

Google+ : un certain tabou de l'échec

Google+ poursuit sa lente agonie et fait l'objet d'un minutieux travail de démontage...

Articles relatifs

Contenus sponsorisés

Contenus partenaires

Réagissez à l'article

Connectez vous ou Enregistrez-vous pour commencer la discussion
publicité