Faille de sécurité : bientôt la fin pour Google+ ?

Par  le 10 octobre 2018 - 9:37 dans

Le communiqué vient de tomber de la part de Google : suite à une faille de sécurité touchant plusieurs milliers d’utilisateurs la firme de Mountain View a annoncé la fermeture prochaine de son réseau social baptisé Google+.

Cette faille aura sûrement été la goutte d’eau qui a précipité la fin du réseau qui n’aura pas connu le succès attendu.

Project Strobe et Google+

Cette annonce de fermeture n’est une surprise pour personne tant celle-ci était attendue un jour ou l’autre. Pourtant, d’après le billet officiel du blog de Google, cela ferait partie d’un process interne d’état des lieux appelé « Project Strobe » visant les outils ou accès problématiques quant aux données personnelles.

Voici le communiqué officiel au sein de l’article :

Au début de cette année, nous avons lancé un projet appelé Project Strobe – un examen détaillé de l’accès des développeurs tiers aux données des comptes Google et des appareils Android et de notre philosophie concernant l’accès aux données des applications.
Ce projet a porté sur le fonctionnement de nos contrôles de protection de la vie privée, sur les plateformes où les utilisateurs n’utilisaient pas nos API en raison de préoccupations liées à la protection des données, sur les domaines où les développeurs peuvent avoir obtenu un accès trop large et sur les autres domaines dans lesquels nos politiques devraient être resserrées.

Nous apprenons ainsi que la maintenance d’un produit comme Google+ répondant aux attentes du grand public posent d’importants défis et que Google a décidé de ne pas investir davantage dans celui-ci.
L’utilisation du mot « grand public » est important car il sera, à priori, toujours possible pour les professionnels d’utiliser Google+.

La problématique de l’utilisation du réseau et d’un bug dans l’API

La version grand public de Google+ est actuellement peu utilisée et génère peu d’engagement : 90 % des sessions utilisateur de Google+ durent moins de cinq secondes. C’est un chiffre sans appel qui place l’outil très loin de la concurrence en terme d’audience et bien sûr au niveau impact auprès d’éventuels publicitaires.

Aussi, suite à l’audit effectué dans le cadre du projet « Strobe », nous apprenons qu’un bug a été décelé provenant de l’API (Google+ People APIs) dont voici les grandes lignes :

  • Via l’API, les utilisateurs peuvent donner accès à leurs données de profil, et aux informations publiques de profil de leurs amis, aux applications Google+.
  • Le bug résidait dans le fait que les applications avaient également accès aux champs de profil partagés avec l’utilisateur, mais non marqués comme publics.
  • Ces données sont limitées aux champs statiques et facultatifs du profil Google+, y compris le nom, l’adresse e-mail, la profession, le sexe et l’âge (voir la liste complète sur le site Google Developers). Elle ne comprend pas les autres données publiées ou connectées à Google+ ou à tout autre service, comme les messages, les données de compte Google+, les numéros de téléphone ou le contenu de G Suite.
  • L’équipe a immédiatement corrigé ce bug en mars 2018 et pense que cela s’est produit à la suite de l’interaction de l’API avec une modification ultérieure du code Google+.
  • Une analyse détaillée au cours des deux semaines précédant la correction du bug a remonté l’information que les profils de 500 000 comptes Google+ ont été potentiellement affectés : 438 applications ont pu utiliser cette API.
  • L’analyse n’a pas pu mettre en évidence qu’il y a bien eu une utilisation frauduleuse de ces informations.

L’article communique sur d’autres points comme le fait que l’équipe souhaite renforcer les autorisations de compte Google de façon plus granulaires, sous entendu en ayant le choix de donner la permission pour chacune des données, au sein des boîtes de dialogue individuelles.

Process Google+ accès données

Process de demande d’accès à n’importe quelle donnée de compte Google

Mais aussi sur le fait qu’il y aura dorénavant une limitation sur les types de cas d’utilisation autorisés de l’API de Gmail et également sur les permissions au niveau des SMS et de la liste des appels téléphoniques (Call Log) pour les Apps Android. A noter que l’accès aux données des contacts téléphoniques depuis l’API n’est plus disponible.

Il y a donc une réelle volonté de la part de Google d’être irréprochable concernant la gestion de ses API comme l’évoque le message ci-dessous :
Au cours des prochains mois, nous déploierons des contrôles supplémentaires et mettrons à jour les politiques dans un plus grand nombre de nos API.

L’annonce de la fermeture de Google+

L’audit du projet « Strobe » a donc mis en lumière les défis importants que posent la création et le maintien d’un Google+ performant qui répond aux attentes des utilisateurs. Compte tenu de ces défis et de la très faible utilisation de la version grand public de Google+, l’équipe en charge a décidé de supprimer la version grand public de Google+.

Pour laisser aux utilisateurs le temps de migrer vers d’autres réseaux sociaux, nous apprenons que l’équipe souhaite mettre en oeuvre cette réduction progressive sur une période de 10 mois, qui devrait se terminer d’ici la fin du mois d’août 2019.
Au cours des prochains mois, l’équipe fournira des renseignements supplémentaires, y compris concernant les modalités pour télécharger et migrer leurs données.

A terme, il sera vraisemblablement nécessaire d’enlever les boutons de partage Google+ pour des questions de vitesse de chargement (webperf) et, pour ceux qui ne l’auraient pas fait, supprimer définitivement la balise d’Authorship liée à Google+ au sein du code source.

On croit comprendre qu’il y aura bientôt de nouvelles fonctionnalités spécialement conçues pour les entreprises. Google+ sera donc plus adapté aux professionnels et pourrait devenir le lieu virtuel où les collègues pourront échanger en interne sur un réseau social d’entreprise sécurisé.

On verra bien comment Google réussira à tirer son épingle du jeu face à des outils comme Slack, par exemple !

Tweet about this on TwitterShare on LinkedInShare on FacebookShare on Google+Email this to someone
Partagez cet article!
Aucun commentaire