Google+ présentait une nouvelle faille en matière de confidentialité, exposant aux développeurs les données de 52,5 millions d’utilisateurs via l’API. Google affirme que personne n’a accédé à ces informations, mais a décidé d’accélérer la fin du réseau social : il prendra fin en avril 2019 ? la précédente échéance était le mois d’août.
“Avec la découverte de ce nouveau bogue, nous avons décidé d’accélérer la fermeture de toutes les API de Google+ ; cela se fera dans les 90 prochains jours”, explique la société. “En outre, nous avons également décidé d’accélérer la fermeture de Google+ pour les consommateurs d’août 2019 à avril 2019”.
Google a promis de fermer le réseau social des consommateurs, mais continue d’investir dans un futur Google+ pour les entreprises. Pourquoi s’y fier ? Selon elle, “les administrateurs de la G Suite ont toujours le contrôle… Les utilisateurs de la G Suite ne peuvent donner accès qu’aux applications qui ont été approuvées comme étant dignes de confiance… par votre organisation.
Échec de Google+ est resté à l’antenne pendant une semaine
Cette fois, la vulnérabilité se trouvait dans l’API “People” de Google+. Cette fonction permet au développeur d’accéder à des données de profil telles que le nom, l’adresse électronique, la profession, le sexe, la date de naissance, le statut de la relation et l’âge. Un bug a permis d’obtenir ces informations même lorsqu’elles étaient marquées comme non publiques.
En outre, l’API permettait d’accéder à des données de profil qui étaient partagées par d’autres utilisateurs de Google+, mais qui n’étaient pas publiques non plus.
Google affirme que les développeurs n’ont même pas remarqué qu’ils pouvaient accéder à ces données ? un exemple probable de sécurité par l’obscurité, puisque Google+ est peu utilisé. Le virus a été diffusé pendant une semaine, entre le 7 et le 13 novembre.
Selon l’entreprise, les données exposées n’ont pas été utilisées de manière malveillante et ne comprenaient pas d’éléments pouvant être utilisés dans le cadre d’une fraude, tels que des numéros de cartes de crédit ou des mots de passe.
Google+ présentait également une lacune où jusqu’à 500 000 comptes étaient “potentiellement affectés”. La brèche a été réparée en mars, mais n’a été révélée qu’en octobre. Le réseau social sera fermé en raison de problèmes de sécurité et d’une faible utilisation : plus de 90 % des sessions durent jusqu’à cinq secondes.
