Un panneau Google à Shanghai, en septembre. / Aly Song / REUTERS

Le Wall Street Journal révèle, lundi 8 octobre, qu’une faille de sécurité du réseau social Google+, lancé par Google par en 2011 pour concurrencer Facebook, a mis en danger les données personnelles d’utilisateurs de Google+. Selon l’article du quotidien américain, des informations personnelles des comptes étaient accessibles de manière non prévue, via l’interface de programmation du service (API – un ensemble de règles et de logiciels qui permettaient à des services extérieurs de se « brancher » sur Google+, par exemple pour se connecter). Ce « bug » inscrit dans le code de Google+ est resté en ligne trois ans, entre 2015 et 2018, selon le Wall Street Journal, avant que Google ne découvre le problème en mars dernier lors d’un audit interne, et décide de le corriger sans prévenir ni les régulateurs, ni ses utilisateurs.

Un scénario qu’a confirmé Google lundi dans un communiqué, détaillant l’étendue des informations d’utilisateurs auxquelles ont pu avoir accès des applications tierces à partir de cette faille. Dans son texte, publié dans la foulée des révélations du Wall Street Journal, Google annonce également la fermeture de Google+ pour le grand public dans les dix mois à venir, en raison, notamment, de ce problème. Les utilisateurs pourront profiter de cette période pour exporter leurs données, avant fermeture du réseau social.

500 000 comptes vulnérables pendant deux semaines

Selon les précisions de Google, ce sont 500 000 comptes dont les données ont été vulnérables sur une période de quinze jours, pendant laquelle l’entreprise a pu surveiller l’étendue du problème. L’entreprise a également identifié 438 applications différentes utilisant l’API de Google+ qui auraient potentiellement pu avoir accès à ces données pendant cette période.

Google assure cependant n’avoir constaté aucun cas de collecte ou de mauvaise utilisation de ces accès. « Nous n’avons trouvé aucune preuve qu’un développeur se soit rendu compte de ce bug, ou ait exploité l’API de Google+ et ce sens, et nous n’avons trouvé aucune preuve que des données de profil Google+ ont été utilisées à mauvais escient », écrit l’entreprise.

Mais Google ne stocke ce type d’informations que durant deux semaines : les données d’utilisateurs Google+ concernées ont donc pu être aspirées à n’importe quel moment entre 2015 et début 2018 sans que l’opération ne laisse de traces évidentes. En 2015, le service revendiquait plus de 110 millions d’utilisateurs actifs – mais plusieurs centaines de millions d’autres internautes disposent, parfois sans le savoir, d’un compte Google+, créé automatiquement depuis 2012 lors de l’inscription à certains services, comme Gmail. Quelle proportion de ces utilisateurs utilisait des services se connectant à l’API de Google+ et étaient donc potentiellement vulnérables ? Google ne le dit pas.

Dans son communiqué, l’entreprise détaille également ce à quoi les applications, développées par des services extérieurs à Google, ont pu avoir accès : principalement, des informations personnelles d’utilisateurs qui n’étaient pas censées être partagées publiquement. Parmi elles, le nom, l’adresse email, l’emploi, l’âge et le genre des utilisateurs de Google+. Google précise que les applications tierces concernées n’ont pas eu accès, en revanche, aux messages postés sur le réseau social, ni aux informations des comptes Google liées, comme les numéros de téléphone ou les données associées.

Manque de transparence

D’après un mémorandum interne consulté par le Wall Street Journal, Google aurait hésité à rendre la découverte de cette faille publique. Et aurait finalement décidé de la corriger tout en gardant son existence secrète, afin d’éviter « d’être mis sous le feu des projecteurs avec ou à la place de Facebook ». Au moment de la découverte de la faille, Facebook était en effet au cœur d’un vaste scandale lié à l’utilisation par l’entreprise Cambridge Analytica de données personnelles captées sur des comptes Facebook. Ces données avaient été utilisées à des fins politiques, pour soutenir la campagne de Donald Trump ou la campagne du Brexit. Les données avaient été collectées en utilisant une fonctionnalité de Facebook qui les rendait facilement accessibles, et l’entreprise avait été vivement critiquée, y compris par plusieurs gouvernements et commissions parlementaires aux Etats-Unis et en Europe.

A quelques semaines près, Google n’aurait eu aucun choix en la matière : en Europe, le règlement RGPD sur la protection des données impose de communiquer aux régulateurs de la vie privée la découverte d’une faille de ce type. Mais aussi d’informer les utilisateurs concernés par une fuite de données, le cas échéant. Le texte est entré en vigueur en mai 2018. Aux Etats-Unis, les grandes entreprises ne sont tenues d’annoncer la découverte de ce type de failles que si des données ont effectivement été dérobées.

Outre la correction de la faille, Google a annoncé ce lundi qu’il procédait à une importante refonte de son système d’API. La manière dont des services tiers pourront désormais accéder à des informations sensibles, notamment les données issues de Gmail ou de l’application SMS pour Android, sera désormais plus limitée. Ces changements, positifs mais très techniques, ne semblent pas de nature à faire oublier que l’entreprise a volontairement caché l’existence d’une faille touchant l’un de ses services.