Fermeture de Google+ : la firme savait depuis 6 mois que 500 000 comptes étaient à la merci des pirates

Google+ ferme définitivement ses portes sur fonds de désertion du service, mais aussi – on l'a appris lundi 9 octobre 2018 – de grosses inquiétudes autour de la sécurité des données personnelles associées à 500 000 comptes. On apprend ce mardi que Google connaissait l'existence de la faille depuis au moins 6 mois – son existence remonte à 2015. Google assure de son côté que la faille a été colmatée avant qu'elle n'ait pu être exploitée, tout en affirmant être dans l'incapacité de prévenir les utilisateurs dont le compte a potentiellement été exploité… 

Le trouble entoure les conditions dans lesquelles Google a décidé de fermer Google+. La fermeture progressive de Google+ prendra fin en août 2019. Google a en effet annoncé la fermeture du réseau social, pensé au départ comme un sérieux concurrent de Facebook (il n'a jamais trouvé son public), tout en révélant qu'une grosse faille de sécurité a potentiellement donné accès aux données personnelles de 500 000 comptes utilisateurs. On apprend que Google connaissait l'existence de cette faille depuis au moins 6 mois – alors que celle-ci existait en fait depuis 2015 selon le Wall Street Journal. Le journal révèle que Google a volontairement joué la montre pour éviter les sanctions et”relancer l'intérêt [du législateur] pour réguler” davantage l'entreprise dans le sillage des scandales ayant affecté Facebook.

Fermeture de Google+ : la faille était connue depuis au moins 6 mois

Google estime s'être plié à ses obligations dans le cadre du RGPD, texte protecteur qui exige pourtant que les failles soient notifiées dans les 72h suivant leur découverte – la firme argue en effet que cette faille n'a pas été exploitée par des pirates, bien qu'elle ait laissé la possibilité de le faire pendant plusieurs années. Dans le même temps Google se dit incapable de prévenir les utilisateurs dont le compte a pu être touché, tout simplement parce que l'entreprise ne conservait de logs (fichiers de diagnostics) sur Google+ que pendant deux semaines. Faute de violation de données avérée, il n'y a effectivement pas d'obligation de signalement.

Le bug proprement dit permettait à des personnes en ayant potentiellement la connaissance de contourner la sécurité de certains profils et d'accéder à des données privées comme le sexe, profession, nom, photo ou adresse email. Même si elle est sérieuse par son étendue, elle ne semble néanmoins pas aussi grave que la faille dont il était question dans l'affaire Cambridge Analytica. Google n'utilisait en effet pas son service comme Facebook pour exploiter les données de ses utilisateurs à des fins commerciales – ou dans le cas de Cambridge Analytica, électorales. L'ampleur est également très loin des 80 millions de personnes touchées par l'affaire qui a ébranlé Facebook.

Enfin, le service était nettement moins utilisé que son concurrent, et attisait vraisemblablement moins l'intérêt des hackers. Etiez-vous sur Google+ ? Regrettez-vous la disparition du service ? Partagez votre retour dans les commentaires.

Via

Voir les commentaires
Ailleurs sur le web