fermer
Google

Google+ ferme ses portes après que Google ait découvert un bug d’API

google plus logo
Google+ ferme ses portes après que Google ait découvert un bug d'API

Un bug de l’API Google+ People découvert par Google en mars 2018, et actif entre 2015 et mars 2018, exposait des informations personnelles telles que le nom, l’e-mail, la profession, l’âge, le lieu de résidence, la date d’anniversaire, les employeurs/organisations et le sexe (et autres informations sensibles) sur 500 000 profils.

Le problème de sécurité des API, qui a entraîné des fuites de données affectant 500 000 profils de Google+, a été découvert lors du lancement du « Project Strobe » par Google, conçu comme un audit de l’accès des développeurs tiers aux données des périphériques Android et aux comptes Google. Cela a eu pour effet de fermer les portes de Google+.

Bien que Google soit tombé sur le bug de l’API Google+ People en mars 2018, le géant social a choisi de ne pas divulguer publiquement l’information parce qu’elle « n’a trouvé aucune preuve qu’un développeur était au courant de ce bug, ou qu’il abusait de l’API, et qu’elle n’a trouvé aucune preuve que des données du profil ont été mal utilisées ».

Toutefois, selon l’article de blog annonçant le problème lié à la sécurité de l’API Google+, Google « a conçu Google+ pour préserver la confidentialité et ne conserve donc les données de journalisation de cette API que pendant deux semaines. Cela signifie que nous ne pouvons pas déterminer les utilisateurs concernés par ce bug ».

De multiples données personnelles recueillies ?

Le bug découvert par Google dans l’une des API Google+ permettait aux applications Google+ tierces avec un accès accordé par les utilisateurs d’accéder également aux champs de profil privés identifiés par l’utilisateur comme n’étant pas publics.

Étant donné que les API Google+ ne conservent les données de journal que pendant deux semaines, Google ne sait pas exactement combien de personnes ont été touchéesCependant, il indique avoir repéré « jusqu’à 438 applications susceptibles d’avoir utilisé l’API en question ». « Nous n’avons trouvé aucune preuve indiquant que les développeurs étaient au courant de ce bug ou abusaient de l’API », déclare Smith. Et, « nous n’avons trouvé aucune preuve de l’utilisation abusive des données de profil ». 

La liste complète des informations personnelles auxquelles les applications tierces ont eu accès en raison du défaut de l’API Google+ People est disponible sur la page API REST de Google+.

Une triste fin

Lancé en fanfare en 2011 par le géant de la recherche, Google+ n’était pas seulement un site de réseau social pour concurrencer Facebook, mais un mécanisme d’authentification d’identité en ligne.

En effet, à un moment donné, Google intégrait des profils Google+ dans certains de ses services les plus importants. Google Actualités, par exemple, afficherait l’identité du journaliste responsable à l’aide de Google+, tandis que les profils Google+ étaient utilisés comme lien sous-jacent de Gmail, YouTube, Google Maps, etc. Google a également introduit un bouton « +1 » pour le contenu tiers, qui agissait de la même manière que le bouton « J’aime » de Facebook.

Maintenant, la version grand public de Google+ disparaît. La réaction de Google risque également de susciter la controverse, voire davantage. Quant à la disparition progressive de Google+, celle-ci se déroulera sur une période de 10 mois. Google indique que si tout se passe comme prévu, elle s’attend à ce que la version grand public soit fermée d’ici la fin du mois d’août 2019.

Tags : GoogleGoogle Plussécurité
Yohann Poiron

The author Yohann Poiron

J’ai fondé le BlogNT en 2010. Autodidacte en matière de développement de sites en PHP, j’ai toujours poussé ma curiosité sur les sujets et les actualités du Web. Je suis actuellement engagé en tant qu’architecte interopérabilité.