Le Congrès US met la pression à Google et exige des détails sur la faille de sécurité de Google+
Qui pourrait avoir affecté 500 000 comptes
Le 2018-10-13 01:00:15, par Bill Fassinou, Chroniqueur Actualités
Il y a quelques jours, il a été révélé que les données de centaines de milliers d’utilisateurs de Google avaient été exposées depuis 2015 au moins. Des enquêteurs internes de l’entreprise ont découvert et colmatée la brèche en mars dernier. Ladite faille a laissé aux développeurs tiers un potentiel accès aux données personnelles d’environ 500 000 comptes Google+. Les données de profil exposées comprenaient les noms complets, les adresses électroniques, les dates de naissance, le sexe, les photos de profil, les lieux habités, etc. Les numéros de téléphone, les courriels, les messages de chronologie, les messages directs ou tout autre type de données de communication n’en faisaient cependant pas partie.
Un memo édité par le staff juridique de Google et communiqué aux cadres supérieurs expliquait que la divulgation de l’incident engendrerait probablement un « intérêt réglementaire immédiat » et induirait dans les esprits un comparatif avec le scandale Cambridge Analytica dont Facebook n’a toujours pas fini de se relever. Et bien entendu, cette éventualité n’était pas vraiment tentante pour Google. Le memo indiquait également que l’entreprise n’avait aucun moyen de déterminer si les développeurs avaient utilisé les données à des fins délictueuses. Un comité interne a donc pris la décision de cacher cette faille au public et aux autorités. Ledit comité aurait ensuite informé le CEO Sundar Pichai de la décision. « Chaque fois que les données des utilisateurs sont affectées, nous allons au-delà de nos obligations légales et appliquons plusieurs critères centrés sur nos utilisateurs pour déterminer s'il convient de donner un préavis », a déclaré un porte-parole de Google dans un communiqué en guise de défense.
Il y a quelques heures, les sénateurs John Thune, Roger Wicker et Jerry Moran ont fait parvenir au CEO de Google un courrier concernant cet incident. Ils expliquent dans ce courrier que la confidentialité des données est un sujet de grande préoccupation pour la part de la population américaine qui utilise des services en ligne. Ils déclarent qu’avec Cambridge Analytica et tous les autres scandales récents liés à la protection des données, la confiance des utilisateurs à l’endroit des grandes entreprises de la Tech avait été violemment ébranlée. Et, selon eux, restaurer cette confiance passe par l’accroissement de la transparence dont ces entreprises font preuve à l’égard du public.
Ces raisons rendent les efforts de Google pour contenir l’information quant à la faille d’autant plus troublants, pour les sénateurs. Ils se déclarent extrêmement déçus, d’autant plus que le responsable de la confidentialité de Google témoignait devant eux il y a à peine deux semaines et qu’il s’est bien gardé de mentionner cette affaire. Ils ont donc décrété que Google devait exercer une plus grande transparence et ont énoncé une liste de questions et de requêtes. Ils ont requis de Google une description complète de la manière dont Google a pris conscience de la faille et de la manière dont celle-ci a été colmatée.
Puis, ils ont demandé si Google s’engageait à notifier aux autorités, aux agences de régulation et aux utilisateurs affectés toute preuve attestant d’une utilisation délictueuse des données exposées. Ils ont ensuite demandé si l’entreprise avait informé une quelconque agence fédérale avant que l’affaire soit révélée au public. Puis, ils ont demandé si l’entreprise pense que les utilisateurs de services gratuits de Google méritent d’être placés sur un pied d’égalité avec les abonnés G Suite en matière de notification et de réparation lors d’un incident affectant leurs données. Ils ont ensuite demandé s’il y avait d’autres incidents du genre qui n’avaient pas été révélés au public. Et pour finir, ils ont demandé que l’entreprise leur fournisse une copie du mémo interne qui recommandait chaudement la non-divulgation de la faille. Les réponses à ces questions et requêtes devront être envoyées le 30 octobre prochain à 17h au plus grand tard.
Source : The Wall Street Journal
Et vous ?
Voir aussi
Un memo édité par le staff juridique de Google et communiqué aux cadres supérieurs expliquait que la divulgation de l’incident engendrerait probablement un « intérêt réglementaire immédiat » et induirait dans les esprits un comparatif avec le scandale Cambridge Analytica dont Facebook n’a toujours pas fini de se relever. Et bien entendu, cette éventualité n’était pas vraiment tentante pour Google. Le memo indiquait également que l’entreprise n’avait aucun moyen de déterminer si les développeurs avaient utilisé les données à des fins délictueuses. Un comité interne a donc pris la décision de cacher cette faille au public et aux autorités. Ledit comité aurait ensuite informé le CEO Sundar Pichai de la décision. « Chaque fois que les données des utilisateurs sont affectées, nous allons au-delà de nos obligations légales et appliquons plusieurs critères centrés sur nos utilisateurs pour déterminer s'il convient de donner un préavis », a déclaré un porte-parole de Google dans un communiqué en guise de défense.
Il y a quelques heures, les sénateurs John Thune, Roger Wicker et Jerry Moran ont fait parvenir au CEO de Google un courrier concernant cet incident. Ils expliquent dans ce courrier que la confidentialité des données est un sujet de grande préoccupation pour la part de la population américaine qui utilise des services en ligne. Ils déclarent qu’avec Cambridge Analytica et tous les autres scandales récents liés à la protection des données, la confiance des utilisateurs à l’endroit des grandes entreprises de la Tech avait été violemment ébranlée. Et, selon eux, restaurer cette confiance passe par l’accroissement de la transparence dont ces entreprises font preuve à l’égard du public.
Ces raisons rendent les efforts de Google pour contenir l’information quant à la faille d’autant plus troublants, pour les sénateurs. Ils se déclarent extrêmement déçus, d’autant plus que le responsable de la confidentialité de Google témoignait devant eux il y a à peine deux semaines et qu’il s’est bien gardé de mentionner cette affaire. Ils ont donc décrété que Google devait exercer une plus grande transparence et ont énoncé une liste de questions et de requêtes. Ils ont requis de Google une description complète de la manière dont Google a pris conscience de la faille et de la manière dont celle-ci a été colmatée.
Puis, ils ont demandé si Google s’engageait à notifier aux autorités, aux agences de régulation et aux utilisateurs affectés toute preuve attestant d’une utilisation délictueuse des données exposées. Ils ont ensuite demandé si l’entreprise avait informé une quelconque agence fédérale avant que l’affaire soit révélée au public. Puis, ils ont demandé si l’entreprise pense que les utilisateurs de services gratuits de Google méritent d’être placés sur un pied d’égalité avec les abonnés G Suite en matière de notification et de réparation lors d’un incident affectant leurs données. Ils ont ensuite demandé s’il y avait d’autres incidents du genre qui n’avaient pas été révélés au public. Et pour finir, ils ont demandé que l’entreprise leur fournisse une copie du mémo interne qui recommandait chaudement la non-divulgation de la faille. Les réponses à ces questions et requêtes devront être envoyées le 30 octobre prochain à 17h au plus grand tard.
Source : The Wall Street Journal
Et vous ?
Voir aussi
-
sebastianoMembre extrêmement actifDepuis quand les GAFAM (et leurs collègues non-GAFAM) se soucient de ce genre de choses ? Google, Microsoft, Apple, ... toutes ces entreprises ont le même objectif et ne s'embarrassent pas de ces petits désagréments. Le reste n'est que façade (et donc littérature).le 21/01/2019 à 11:40
-
tomlevRédacteur/ModérateurJe suis assez d'accord, Google se fout un peu de la gueule du monde... Prévenir le 20 décembre (date à laquelle j'ai reçu leur mail) que leurs API ferment moins de 3 mois plus, et commenceront même à ne plus marcher dès fin janvier ("This will be a progressive shutdown beginning in late January, with calls to these APIs starting to intermittently fail as early as January 28, 2019" (source)), ça laisse vraiment peu de temps aux développeurs pour se retourner.
Le pire, c'est que beaucoup de gens utilisent probablement une API Google+ sans même le savoir, pour l'authentification OAuth via Google. Dans ASP.NET (et ASP.NET Core) par exemple, le fournisseur d'authentification Google par défaut utilise un endpoint de l'API Google+ pour récupérer les infos de l'utilisateur, et ça ne fonctionnera bientôt plus à moins de se mettre à jour (j'ai publié une solution pour ASP.NET Core ici)le 21/01/2019 à 14:28 -
Paul TOTHExpert éminent séniorje trouve dommage la fermeture de G+
il y a par exemple une excellente communauté de développeurs Delphi
https://plus.google.com/communities/...85381486591754
l'interface de G+ est à mon sans la plus conviviale dans sa catégorie.le 11/12/2018 à 8:57 -
Paul TOTHExpert éminent sénior29 millions de comptes compromis, ça devient insupportable il faut vraiment fermer G+
ah mince, en fait c'est FaceBookle 15/12/2018 à 11:52 -
cad13Membre habituéSi j'ai bien compris, les utilisateurs de G suite ne seront pas impactés ?
G Suite c'est 4€/mois par utilisateur.le 01/02/2019 à 12:49 -
loic Rael SielNouveau Candidat au ClubMais c'est pas juste de la part de Google. Avez vous penser pour les utilisateurs de Youtube? Pour les Communicateurs d'adresse gmail? Mais non! Trouvez y une solution adéquate.. merci!le 23/02/2019 à 17:14