Google décide d'accélérer la fermeture de Google+ après la découverte d'un nouveau bogue
Qui affecte les informations de 52 millions d'utilisateurs

Le , par Stéphane le calme

123PARTAGES

14  0 
Au début de cette année, Google a lancé une initiative appelée Project Strobe, dont l'objectif est d'examiner, entre autres, l'accès des développeurs tiers aux données de comptes Google et d'appareils Android. Dans le cadre de cet effort, Google s'est penché sur la sécurité des API Google+ et son examen a révélé qu'un bogue dans une API Google+ permettait aux applications d'accéder à des données utilisateurs qui n'étaient « pas marquées publiques » - pour reprendre les termes de Google ; des données qui étaient donc privées en quelque sorte.

Dans un billet de blog, Google a expliqué cependant que « ces données sont limitées aux champs statiques et facultatifs du profil Google+, y compris le nom, l'adresse e-mail, la profession, le sexe et l'âge » de l'utilisateur et « n'incluent pas les autres données que les utilisateurs ont publiées ou connectées à Google+ ou à tout autre service ». C'est-à-dire que ne sont pas concernées les données comme « les publications Google+, les messages, les données de compte Google, les numéros de téléphone ou le contenu de G Suite. »

D'après Google, 438 applications pourraient avoir utilisé l'API en question, mais seuls 500 000 comptes Google+ ont potentiellement été affectés par ce bogue. L'entreprise assure également n'avoir rien trouvé qui indique qu'un développeur était au courant du problème ou que la faille ait été exploitée. La faille de sécurité a été immédiatement corrigée après sa découverte en mars 2018, au moment où l'affaire Cambridge Analytica a été révélée au grand public.

C'est dans ces circonstances que Google a annoncé début octobre la fermeture de la version grand public de son réseau social Google+ au terme d'un processus qui allait durer 10 mois. La fin de Google+ était donc marquée pour août 2019.


La découverte d'une nouvelle faille qui précipite la date de fermeture

Une autre fuite de données a eu lieu dans Google+ et Google a décidé de fermer la version grand public du réseau social quatre mois plus tôt que prévu. Google+ va désormais fermer ses portes en avril plutôt qu'en août. De plus, l'accès des API au réseau sera arrêté d'ici 90 jours.

David Thacker, Vice-président, Gestion des produits au sein de G Suite, a donné des explications dans un billet de blog.

Citation Envoyé par David Thacker,
En octobre, nous avons annoncé que nous abandonnerions la version grand public de Google+ et de ses API en raison des difficultés considérables rencontrées pour maintenir un produit performant qui réponde aux attentes des consommateurs, ainsi qu’à la faible utilisation de la plateforme.

Nous avons récemment déterminé que certains utilisateurs avaient été affectés par une mise à jour logicielle introduite en novembre qui contenait un bogue affectant une API Google+. Nous avons découvert ce bogue dans le cadre de nos procédures de test standard et en cours et nous l'avons corrigé une semaine après son introduction. Aucune tierce partie n'a compromis nos systèmes et nous n'avons aucune preuve que les développeurs d'applications qui avaient eu cet accès par inadvertance pendant six jours en étaient au courant ou en avaient fait un usage abusif.

Avec la découverte de ce nouveau bogue, nous avons décidé d’accélérer la fermeture de toutes les API Google+; cela se produira dans les 90 prochains jours. En outre, nous avons également décidé d’accélérer la temporisation de Google+ pour les consommateurs d’août 2019 à avril 2019. Tout en reconnaissant les implications pour les développeurs, nous souhaitons assurer la protection de nos utilisateurs.
Les enquêtes de Google sont toujours en cours, mais voici quelques éléments qui en ressortent déjà :
  • Google a confirmé que le bogue avait affecté environ 52,5 millions d'utilisateurs liés à une API Google+.
  • En ce qui concerne cette API, les applications qui demandaient l'autorisation d'afficher les informations de profil qu'un utilisateur avait ajoutées à leur profil Google+, telles que leurs nom, adresse e-mail, profession, âge, etc., obtenaient l'autorisation de consulter des informations de profil de cet utilisateur, même lorsque ce dernier les avaient réglées sur non public.
  • En outre, les applications ayant accès aux données de profil Google+ d'un utilisateur avaient également accès aux données de profil qui avaient été partagées avec l'utilisateur consentant par un autre utilisateur Google+ mais qui n'étaient pas partagées publiquement.
  • Le bogue ne permettait pas aux développeurs d’avoir accès à des informations telles que des données financières, des numéros d’identification nationaux, des mots de passe ou des données similaires généralement utilisées pour la fraude ou le vol d’identité.
  • Google assure qu'aucune tierce partie n'a compromis ses systèmes et souligne n'avoir aucune preuve que les développeurs qui ont eu cet accès par inadvertance pendant six jours en étaient au courant ou en ont fait un usage abusif.

« Nous avons lancé le processus de notification aux utilisateurs consommateurs et aux entreprises clientes affectés par ce bogue. Notre enquête est en cours sur tout impact potentiel sur d'autres API Google+ », insiste David Thacker.

La divulgation intervient un jour avant que le chef de la direction, Sundar Pichai, ne soit appelé à témoigner devant le comité judiciaire du parlement américain au sujet des pratiques de collecte de données de Google. Certains législateurs américains des deux principaux partis politiques ont appelé à de nouvelles règles de confidentialité pour mieux contrôler Google, Facebook ainsi que d’autres grandes entreprises technologiques.

Source : Google

Voir aussi :

Mozilla n'est pas du tout content de l'adoption de Chromium par Microsoft, les navigateurs non basés sur la techno de Google sont-ils en danger ?
Après Google, Mozilla travaille à son tour au portage de son navigateur sur Windows 10 ARM, en collaboration avec Qualcomm
Google propose aux bêta testeurs Waymo One, son service de taxis autonomes, qui sera limité pour le moment à la ville de Phoenix
Google annonce qu'il va arrêter son application de messagerie Google Allo en 2019 pour se concentrer sur Messages
La « main-d'œuvre fantôme » de Google réclame des salaires plus élevés et des avantages égaux à ceux des employés, dans une lettre ouverte au PDG

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de sebastiano
Membre extrêmement actif https://www.developpez.com
Le 21/01/2019 à 11:40
Depuis quand les GAFAM (et leurs collègues non-GAFAM) se soucient de ce genre de choses ? Google, Microsoft, Apple, ... toutes ces entreprises ont le même objectif et ne s'embarrassent pas de ces petits désagréments. Le reste n'est que façade (et donc littérature).
2  0 
Avatar de tomlev
Rédacteur/Modérateur https://www.developpez.com
Le 21/01/2019 à 14:28
Je suis assez d'accord, Google se fout un peu de la gueule du monde... Prévenir le 20 décembre (date à laquelle j'ai reçu leur mail) que leurs API ferment moins de 3 mois plus, et commenceront même à ne plus marcher dès fin janvier ("This will be a progressive shutdown beginning in late January, with calls to these APIs starting to intermittently fail as early as January 28, 2019" (source)), ça laisse vraiment peu de temps aux développeurs pour se retourner.

Le pire, c'est que beaucoup de gens utilisent probablement une API Google+ sans même le savoir, pour l'authentification OAuth via Google. Dans ASP.NET (et ASP.NET Core) par exemple, le fournisseur d'authentification Google par défaut utilise un endpoint de l'API Google+ pour récupérer les infos de l'utilisateur, et ça ne fonctionnera bientôt plus à moins de se mettre à jour (j'ai publié une solution pour ASP.NET Core ici)
2  0 
Avatar de Paul TOTH
Expert éminent sénior https://www.developpez.com
Le 11/12/2018 à 8:57
Citation Envoyé par grunk Voir le message
Surprenant que la perfusion fut maintenu si longtemps. Google à déjà sniper des services bien plus populaire !
je trouve dommage la fermeture de G+

il y a par exemple une excellente communauté de développeurs Delphi
https://plus.google.com/communities/...85381486591754

l'interface de G+ est à mon sans la plus conviviale dans sa catégorie.
0  0 
Avatar de Paul TOTH
Expert éminent sénior https://www.developpez.com
Le 15/12/2018 à 11:52
29 millions de comptes compromis, ça devient insupportable il faut vraiment fermer G+

ah mince, en fait c'est FaceBook
0  0 
Avatar de cad13
Membre habitué https://www.developpez.com
Le 01/02/2019 à 12:49
Si j'ai bien compris, les utilisateurs de G suite ne seront pas impactés ?

G Suite c'est 4€/mois par utilisateur.
0  0 
Avatar de loic Rael Siel
Nouveau Candidat au Club https://www.developpez.com
Le 23/02/2019 à 17:14
Mais c'est pas juste de la part de Google. Avez vous penser pour les utilisateurs de Youtube? Pour les Communicateurs d'adresse gmail? Mais non! Trouvez y une solution adéquate.. merci!
0  0 
L'environnement de bureau Xfce 4.14 est disponible après quatre ans de développement, il apporte de nombreuses mises à jour et correctifs
États-Unis : une fuite de documents montrerait que la Maison-Blanche veut « protéger les Américains de la censure en ligne »
Visual Studio Code 1.37 est disponible : cette version affiche les résultats d'une recherche dans l'explorateur de fichiers
Apprendre à programmer en Go avec les templates GoLand, un tutoriel d'Ekaterina Zharova
Contacter le responsable de la rubrique Accueil

Partenaire : Hébergement Web