Google a indiqué lundi avoir découvert et colmaté « immédiatement » en mars une faille dans son réseau social Google+ ayant exposé des données personnelles d’un demi-million de comptes. Le problème concernant les API, le géant de l’Internet a décidé de fermer pour les particuliers ce réseau social et de restreindre les accès des applications tierces aux données de ses utilisateurs.
A la suite de cette faille et ayant constaté une grande inactivité des utilisateurs pour la version grand public (90% des sessions utilisateur de Google+ durent moins de cinq secondes), le géant de l’Internet a décidé de fermer pour les particuliers ce réseau social auquel sont automatiquement inscrites les personnes possédant une adresse gmail.
Accès aux données « statiques »
Le nom des propriétaires de 500 000 comptes, leur adresse électronique, leur profession, leur sexe et leur âge sont les principales données ayant été exposées, assure Google sur son site. « Ces données sont limitées aux champs statiques facultatifs du profil Google+, notamment le nom, l’adresse e-mail, la profession, le sexe et l’âge. Il n’inclut pas les autres données que vous avez publiées ou connectées à Google+ ou à tout autre service, telles que les posts Google+, les messages, les données de compte Google, les numéros de téléphone ou le contenu de G Suite« , détaille Ben Smith, Google Fellow and Vice President of Engineering sur le blog de Google. avançant toutefois que Google ne pouvait identifier avec certitude les utilisateurs touchés par la faille, ni leur localisation. Outre le demi-million de comptes, jusqu’à 438 applications sont également concernées par cette faille mise au jour lors d’un audit interne. Google affirme que les développeurs d’applications n’étaient pas au courant de la faille et ne se seraient donc pas servis des données exposées: « Nous n’avons pas trouvé de preuve montrant que les données ont été employées de façon inappropriée« .
Une nouvelle politique d’accès des applications tierces
Comme pour d’autres, notamment Facebook, le problème concerne les API. De fait, Google a annoncé qu’il restreindrait l’accès des applications tierces à certaines informations. Pour Gmail, seules les applications améliorant directement les fonctionnalités de messagerie (les clients de messagerie, les services de sauvegarde de messagerie ou les services de productivité, tels que les services de CRM et de publipostage) seront autorisées à accéder à ces données. « En outre, ces applications devront accepter les nouvelles règles en matière de traitement des données Gmail et seront soumises à des évaluations de sécurité« , précise le responsable. Par ailleurs, il indique : « Lorsque nos utilisateurs autorisent des applications Android à accéder à leurs SMS, à leurs contacts ou à leur téléphone, ils le font avec certaines utilisations en tête. Nous allons limiter la capacité des applications à recevoir des informations sur l’historique des appels ou les SMS sur Android, et nous ne les laisserons plus accéder aux données sur les interactions avec les contacts par l’API. »
Un contrôle plus fin sur les données
Dans la même logique, Ben Smith a annoncé qu’à l’avenir, « les consommateurs disposeront d’un contrôle plus fin sur les données de compte qu’ils choisiront de partager avec chaque application« . « Au lieu de voir toutes les autorisations demandées sur un seul écran, les applications devront vous montrer chaque autorisation demandée, une à la fois, dans sa propre boîte de dialogue. Par exemple, si un développeur demande l’accès à la fois aux entrées d’agenda et aux documents Drive, vous pourrez choisir de partager l’une mais pas l’autre« .
Auteur : Juliette Paoli avec AFP
