Un défaut dans le code informatique de Google+ a rendu vulnérables des données personnelles de 52,5 millions d’utilisateurs du réseau social, a annoncé Google lundi 10 décembre. L’entreprise dit n’avoir retrouvé aucune indication selon laquelle la faille avait été utilisée. A la suite de cette découverte, la date d’arrêt du réseau social, annoncée en octobre en raison, déjà, d’une faille similaire, a été avancée au mois d’avril 2019. Google+ devait initialement fermer ses portes en août.

Une faille ouverte pendant sept jours

Cette nouvelle faille de sécurité n’a pas été découverte en raison d’un piratage informatique, mais d’une erreur commise par les développeurs de Google. Ces derniers se sont aperçus qu’ils avaient introduit un défaut dans l’interface de programmation (ou API, pour application programming interface, en anglais) de Google+ — un mécanisme informatique qui permet aux développeurs d’applications externes de dialoguer avec les services de Google+ et d’en récupérer certaines données.

Cette faille n’a duré que six jours : introduite le 7 novembre avec une mise à jour de l’API Google+, elle a été corrigée le 13 novembre, selon Google. Parmi les données accessibles pendant ce laps de temps figuraient notamment le nom, l’adresse e-mail, la profession ou l’âge, même lorsque les utilisateurs de Google+ avaient choisi de garder ces informations confidentielles.

Le grand nombre de personnes concernées s’explique par le fait qu’une grande partie des internautes titulaires d’un compte Google (Gmail par exemple) dispose mécaniquement d’un compte Google+.

Le PDG de Google, Sundar Pichai, doit justement être entendu, mardi 11 décembre, par la Chambre des représentants états-uniens, qui pourrait lui demander des explications sur cette nouvelle déconvenue en matière de données personnelles.