Google décide d'accélérer la fermeture de Google+ après la découverte d'un nouveau bogue
Qui affecte les informations de 52 millions d'utilisateurs

Le , par Stéphane le calme, Chroniqueur Actualités
Au début de cette année, Google a lancé une initiative appelée Project Strobe, dont l'objectif est d'examiner, entre autres, l'accès des développeurs tiers aux données de comptes Google et d'appareils Android. Dans le cadre de cet effort, Google s'est penché sur la sécurité des API Google+ et son examen a révélé qu'un bogue dans une API Google+ permettait aux applications d'accéder à des données utilisateurs qui n'étaient « pas marquées publiques » - pour reprendre les termes de Google ; des données qui étaient donc privées en quelque sorte.

Dans un billet de blog, Google a expliqué cependant que « ces données sont limitées aux champs statiques et facultatifs du profil Google+, y compris le nom, l'adresse e-mail, la profession, le sexe et l'âge » de l'utilisateur et « n'incluent pas les autres données que les utilisateurs ont publiées ou connectées à Google+ ou à tout autre service ». C'est-à-dire que ne sont pas concernées les données comme « les publications Google+, les messages, les données de compte Google, les numéros de téléphone ou le contenu de G Suite. »

D'après Google, 438 applications pourraient avoir utilisé l'API en question, mais seuls 500 000 comptes Google+ ont potentiellement été affectés par ce bogue. L'entreprise assure également n'avoir rien trouvé qui indique qu'un développeur était au courant du problème ou que la faille ait été exploitée. La faille de sécurité a été immédiatement corrigée après sa découverte en mars 2018, au moment où l'affaire Cambridge Analytica a été révélée au grand public.

C'est dans ces circonstances que Google a annoncé début octobre la fermeture de la version grand public de son réseau social Google+ au terme d'un processus qui allait durer 10 mois. La fin de Google+ était donc marquée pour août 2019.


La découverte d'une nouvelle faille qui précipite la date de fermeture

Une autre fuite de données a eu lieu dans Google+ et Google a décidé de fermer la version grand public du réseau social quatre mois plus tôt que prévu. Google+ va désormais fermer ses portes en avril plutôt qu'en août. De plus, l'accès des API au réseau sera arrêté d'ici 90 jours.

David Thacker, Vice-président, Gestion des produits au sein de G Suite, a donné des explications dans un billet de blog.

Citation Envoyé par David Thacker,
En octobre, nous avons annoncé que nous abandonnerions la version grand public de Google+ et de ses API en raison des difficultés considérables rencontrées pour maintenir un produit performant qui réponde aux attentes des consommateurs, ainsi qu’à la faible utilisation de la plateforme.

Nous avons récemment déterminé que certains utilisateurs avaient été affectés par une mise à jour logicielle introduite en novembre qui contenait un bogue affectant une API Google+. Nous avons découvert ce bogue dans le cadre de nos procédures de test standard et en cours et nous l'avons corrigé une semaine après son introduction. Aucune tierce partie n'a compromis nos systèmes et nous n'avons aucune preuve que les développeurs d'applications qui avaient eu cet accès par inadvertance pendant six jours en étaient au courant ou en avaient fait un usage abusif.

Avec la découverte de ce nouveau bogue, nous avons décidé d’accélérer la fermeture de toutes les API Google+; cela se produira dans les 90 prochains jours. En outre, nous avons également décidé d’accélérer la temporisation de Google+ pour les consommateurs d’août 2019 à avril 2019. Tout en reconnaissant les implications pour les développeurs, nous souhaitons assurer la protection de nos utilisateurs.
Les enquêtes de Google sont toujours en cours, mais voici quelques éléments qui en ressortent déjà :
  • Google a confirmé que le bogue avait affecté environ 52,5 millions d'utilisateurs liés à une API Google+.
  • En ce qui concerne cette API, les applications qui demandaient l'autorisation d'afficher les informations de profil qu'un utilisateur avait ajoutées à leur profil Google+, telles que leurs nom, adresse e-mail, profession, âge, etc., obtenaient l'autorisation de consulter des informations de profil de cet utilisateur, même lorsque ce dernier les avaient réglées sur non public.
  • En outre, les applications ayant accès aux données de profil Google+ d'un utilisateur avaient également accès aux données de profil qui avaient été partagées avec l'utilisateur consentant par un autre utilisateur Google+ mais qui n'étaient pas partagées publiquement.
  • Le bogue ne permettait pas aux développeurs d’avoir accès à des informations telles que des données financières, des numéros d’identification nationaux, des mots de passe ou des données similaires généralement utilisées pour la fraude ou le vol d’identité.
  • Google assure qu'aucune tierce partie n'a compromis ses systèmes et souligne n'avoir aucune preuve que les développeurs qui ont eu cet accès par inadvertance pendant six jours en étaient au courant ou en ont fait un usage abusif.

« Nous avons lancé le processus de notification aux utilisateurs consommateurs et aux entreprises clientes affectés par ce bogue. Notre enquête est en cours sur tout impact potentiel sur d'autres API Google+ », insiste David Thacker.

La divulgation intervient un jour avant que le chef de la direction, Sundar Pichai, ne soit appelé à témoigner devant le comité judiciaire du parlement américain au sujet des pratiques de collecte de données de Google. Certains législateurs américains des deux principaux partis politiques ont appelé à de nouvelles règles de confidentialité pour mieux contrôler Google, Facebook ainsi que d’autres grandes entreprises technologiques.

Source : Google

Voir aussi :

Mozilla n'est pas du tout content de l'adoption de Chromium par Microsoft, les navigateurs non basés sur la techno de Google sont-ils en danger ?
Après Google, Mozilla travaille à son tour au portage de son navigateur sur Windows 10 ARM, en collaboration avec Qualcomm
Google propose aux bêta testeurs Waymo One, son service de taxis autonomes, qui sera limité pour le moment à la ville de Phoenix
Google annonce qu'il va arrêter son application de messagerie Google Allo en 2019 pour se concentrer sur Messages
La « main-d'œuvre fantôme » de Google réclame des salaires plus élevés et des avantages égaux à ceux des employés, dans une lettre ouverte au PDG


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse Signaler un problème

Avatar de Paul TOTH Paul TOTH - Expert éminent sénior https://www.developpez.com
le 11/12/2018 à 8:57
Citation Envoyé par grunk Voir le message
Surprenant que la perfusion fut maintenu si longtemps. Google à déjà sniper des services bien plus populaire !
je trouve dommage la fermeture de G+

il y a par exemple une excellente communauté de développeurs Delphi
https://plus.google.com/communities/...85381486591754

l'interface de G+ est à mon sans la plus conviviale dans sa catégorie.
Avatar de Paul TOTH Paul TOTH - Expert éminent sénior https://www.developpez.com
le 15/12/2018 à 11:52
29 millions de comptes compromis, ça devient insupportable il faut vraiment fermer G+

ah mince, en fait c'est FaceBook
Avatar de Christian Olivier Christian Olivier - Chroniqueur Actualités https://www.developpez.com
le 16/01/2019 à 20:38
Google envoie des mails aux utilisateurs affectés par le bogue de l'API Google+
Détaillant les données de profil qui ont été exposées

Google a commencé à envoyer des notifications aux personnes concernées par le bogue de leur API Google+ divulgué en décembre 2018. Cette notification fournit des informations détaillées sur les données de profil qui ont été exposées et sur les applications qui y ont eu accès.


En décembre dernier, la filiale d’Alphabet a révélé qu’un bogue dans une API Google+ permettait aux applications d’accéder à des données utilisateurs qui n’étaient pas marquées publiques (des données privées en somme) auxquelles elles n’étaient pas censées avoir accès. Ce bogue aurait affecté près de 52 millions d’utilisateurs du réseau social de Google.

Depuis quelques jours, les utilisateurs de Google+ affectés par cet incident ont commencé à recevoir des notifications de la firme de Mountain View indiquant quels champs ont été exposés ainsi que les applications qui ont eu accès à ces champs. Les champs exposés et les applications associées sont répertoriés dans une pièce jointe nommée « app_details.csv » qui est attachée au mail. Le contenu du mail est présenté dans l'image suivante :


Rappelons que la firme de Mountain View a décidé en décembre dernier d’avancer la date de fermeture de son réseau social Google+ de quatre mois (désormais en avril 2019) et de désactiver toutes les fonctionnalités de l’API en cause un mois avant cette échéance en raison de la faible adoption de son service et d’un bogue antérieur de l’API qui avait occasionné l’exposition des informations personnelles de 500 000 comptes Google+.

Source : Bleeping computer

Et vous ?

Qu’en pensez-vous ?

Voir aussi

La « main-d'œuvre fantôme » de Google réclame des salaires plus élevés et des avantages égaux à ceux des employés, dans une lettre ouverte au PDG
Google annonce qu'il va arrêter son application de messagerie Google Allo en 2019 pour se concentrer sur Messages
Google France annonce la fermeture de sa page Google+ un aveu de l'échec du réseau social du géant de la recherche en ligne ?
La preuve que Google+ était condamné depuis longtemps : certains dirigeants de Google ne l'utilisaient plus depuis près de 3 ans

 
Contacter le responsable de la rubrique Accueil

Partenaire : Hébergement Web