Selon le quotidien, des informations personnelles des utilisateurs (nom, adresse mail, genre, âge), indiquées comme privées, auraient été rendues accessibles suite à une faille de sécurité située dans l’API (l’interface de programmation mise en place par Google à destination des développeurs d’applications) du réseau social. La faille aurait été présente pendant trois ans, de 2015 à 2018, jusqu’à sa découverte en mars dernier.
Google a confirmé l’information le jour même, précisant que 500 000 comptes ont été vulnérables sur une période de quinze jours. L’entreprise a également identifié 438 applications différentes qui faisaient usage de cet API, mais n’aurait trouvé aucune intrusion de leur part. “Nous n’avons trouvé aucune preuve qu’un développeur se soit rendu compte de ce bug, ou ait exploité l’API de Google+ et ce sens, et nous n’avons trouvé aucune preuve que des données de profil Google+ ont été utilisées à mauvais escient” peut-on lire dans le communiqué publié ce lundi. Un communiqué qui ne s’attarde pas sur la période 2015-2018, pour laquelle Google n’a plus aucune trace de potentielles activités malveillantes (Google ne conserve les logs, les journaux d’événements, que deux semaines).
En 2015, Google+ comptait plus de 110 millions d’utilisateurs actifs. Voilà pourquoi dans un document interne, on apprend que Google n’a pas voulu immédiatement rendre la faille publique. L’entreprise souhaitait éviter “d’être mise sous le feu des projecteurs avec ou à la place de Facebook”, déjà bien embourbé dans le scandale Cambridge Analytica.
Résultat, Google+, qui souffrait déjà d’un important déficit de popularité, va fermer ses portes. “Ce passage en revue a cristallisé ce que nous savions depuis longtemps : même si nos ingénieurs ont tout donné pour développer Google + année après année, le réseau social n’a pas atteint la masse critique qu’il lui fallait, pas plus qu’une adoption par les développeurs ou une bonne interaction avec les applications.” Ce constat d’échec (Google reconnaît que 90% des sessions ne dépassaient pas les cinq secondes passées sur le site) amorce donc une fermeture qui prendra 10 mois, et s’achèvera en août 2019. Google souhaitant laisser le temps aux utilisateurs et aux communautés de clôturer leurs comptes en beauté. Enfin, dans le cadre de son projet Strobe, la firme de Mountain View va revoir ses demandes d’autorisation faites aux utilisateurs, avant d’éviter de confirmer plusieurs permissions en une seule fois. De quoi éviter de faciliter l’accès à des données sensibles en cas de nouvelle faille.
