[Offert] Google Groupes : depuis 20 ans, des données personnelles et bancaires en accès libre
"On m'a dit de venir, pas de venir avec des bagages"
![[Offert] Google Groupes : depuis 20 ans, des données personnelles et bancaires en accès libre](https://next.ink/wp-content/uploads/2024/07/Cloud-donnees-sensibles.webp "[Offert] Google Groupes : depuis 20 ans, des données personnelles et bancaires en accès libre")
En naviguant dans les Google Groupes, il ne faut pas plus de quelques minutes pour tomber sur des informations qui ne devraient pas être librement accessibles : devis, relevés de compte, bilans de santé, rendez-vous médicaux, etc. Parents d’élèves, associations, syndicats de copropriété, entreprises… tout le monde est concerné. Pire encore, certaines données sont en ligne depuis près de 20 ans.
Pour les fêtes de fin d’année, Next vous offre cet article initialement paru le 2 juillet 2025 et réservé aux abonnés. Pour lire les prochains entretiens dès leur publication, abonnez-vous !
En décembre 2024, nous parlions d’un cas emblématique de Shadow IT : l’équipe d’une clinique privée utilisait Google Groupes pour parler des patients et s’échanger des documents confidentiels avec des données personnelles et médicales. Nous avions contacté l’établissement de santé et le groupe de discussions avait été rendu inaccessible dans la foulée.
Mais en trainant un peu sur les Google Groupes, on se rend rapidement compte que c’est loin, très loin d’être un cas isolé. Il serait quasiment impossible de boucher toutes les brèches potentielles, sauf à rendre privés l’ensemble des groupes, dont certains ont plus de 20 ans.
C’est, en effet, début 2001 que Google rachète Deja.com et sa base de données contenant les discussions des Newgroups, soit pas moins de 500 millions de messages, selon le communiqué de l’époque. Le tout est rendu accessible sur Groups.google.com. C’est encore aujourd’hui l’adresse des Google Groupes.
Ils sont accessibles à condition d’avoir un compte Google et se sont largement développés au fil des années. Ils continuent aujourd’hui d’attirer du monde. Souvent, il s’agit d’avoir un email commun pour partager des informations au sein d’une communauté. Problème, suivant les réglages de visibilité, tout le monde peut lire les emails envoyés au groupe. Comme nous allons le voir, certains utilisent même cette adresse comme email d’identification.
En première ligne : les associations sportives et syndics de copropriété
Les exemples de données accessibles par tout un chacun, nous pourrions presque les multiplier à l’infini, mais nous allons nous limiter à quelques cas emblématiques. Accrochez-vous, certains sont inquiétants ; d‘autant qu’ils peuvent avoir quelques mois comme quelques (dizaines d’) années.
Un club de sport pour commencer. Des dossiers d’inscriptions des membres, des autorisations RGPD et des certificats médicaux sont disponibles en toute liberté sur un groupe ouvert à tous. Nous y retrouvons aussi des comptes rendus des réunions de bureau ainsi que divers documents, certains bancaires.
Voici un exemple d’échange librement accessible :
Ce groupe a été créé en 2013 et il est toujours actif. Nous avons contacté l’association sportive pour lui signaler le problème il y a plusieurs mois déjà, sans aucune réponse ou action de sa part jusqu’à présent.
On retrouve aussi beaucoup de groupes autour des copropriétés et/ou des conseils syndicaux. Devis, querelles de voisinage, photos, codes, etc. tout y passe ou presque. On y retrouve aussi des coordonnées téléphoniques et des adresses de certaines personnes.
L’une d’entre elles est même ingénieure chez Thales depuis plus de 20 ans, selon son profil LinkedIn. On pourrait se dire qu’elle est un minimum rompue aux questions de cybersécurité, mais on retrouve son adresse et ses numéros de téléphones dans un message.
Encore une fois, le souci principal vient de la configuration du Google Groupe qui permet à tout le monde de consulter les messages. Il suffit donc d’envoyer un email à une adresse branchée sur un Google Groupe pour que toute la correspondance soit visible.
Le compte Google Groupe sert à s’identifier dans une banque
Toujours sur le principe des choses à ne pas faire, certains utilisent l’email associé au compte Google Groupes comme identifiant pour les réseaux sociaux et, pire, pour des comptes bancaires, PayPal, des cagnottes…
Résultats des courses, si quelqu’un fait une demande de mot de passe perdu, l’email est envoyé sur l’adresse du Google Groupe… qui est donc automatiquement publié dans le groupe de discussions visible par tout le monde.
Ce n’est pas un cas isolé : en moins de temps qu’il en faut pour le dire, nous avons identifié plusieurs messages du genre.
Il y a également des entreprises qui utilisent l’adresse du compte Google Groupes comme une messagerie interne, pour discuter des devis envoyés à des prospects et clients (avec le détail des prestations évidemment).
Nous avons l’exemple d’une entreprise qui, en plus des discussions internes, s’en sert aussi pour réceptionner les mails de sa banque Qonto et d’abonnements à Starlink. Son activité ? Elle vend des solutions d’accès à Internet par satellite de SpaceX.
Nous avons voulu vérifier si la procédure fonctionnait. En l’espace de quelques secondes, les emails de réinitialisation de mot de passe pour Qonto et Starlink sont arrivés sur le Google Groupes, visible par tout le monde…
« Pas seulement par simplicité, mais par nécessité »
Contacté par Next, l’administrateur du groupe a toutefois rapidement fermé les vannes. Il nous explique avoir « choisi cela non pas seulement par simplicité, mais par nécessité » :
« J’ai besoin d’une multitude d’adresses email différentes pour les différents services que j’utilise sans que je puisse utiliser les mêmes à chaque fois. Donc, soit je m’achète un domaine et je me crée des tonnes d’adresses email, soit je détourne l’usage de ce groupe pour me rendre destinataire de tous ces services ».
À lire les emails envoyés dans le Google Groupes, on se rend compte que l’entreprise dispose déjà d’un nom de domaine et d’un site, bien que ce soit principalement une coquille vide.
Bilan de santé et de fertilité
Dans le domaine de la santé, un service dédié à la reproduction est aussi sur Google Groupes, avec le planning des interventions, des comptes rendus opératoires, des résultats d’analyses, etc. Nous avons contacté il y a plusieurs mois le médecin responsable de cette unité (hors Europe), sans réponse. Les premiers messages remontent à 2022, les derniers ont quelques jours.
Il s’agit là de comptes récents, dont nous avons à chaque fois tenté de contacter les responsables pour leur expliquer le problème. Mais il y a également d’autres groupes, laissés à l’abandon depuis des années, mais toujours librement accessibles.
Des groupes abandonnés depuis 10, 15, 20 ans…
On y retrouve une multitude d’informations qui n’ont rien à faire en ligne, à la vue de tous. Problème, il y a très peu de chances de contacter l’administrateur d’un groupe créé en 2010 et inactif depuis plus de 15 ans… D’autres remontent même aux années 2000 et sont encore accessibles.
Or, Google Groupes regorge de groupes de parents d’élèves, d’associations locales, de syndicats, etc. Chaque année scolaire, chaque événement, chaque action peut être l’occasion de créer un groupe et de le laisser tomber rapidement par la suite. Souvent, les responsables ne savent peut-être même pas que les informations sont librement accessibles. Qui plus est, les pièces jointes envoyées (PDF, images…) sur les Google Groupes sont hébergées par Google, et donc toujours téléchargeables, des années plus tard.
Pour ne rien arranger, les questions du respect de la vie privée, des informations personnelles et du fait qu’Internet n’oublie rien, n’étaient pas aussi présentes dans les années 2000 et 2010 qu’elles le sont aujourd’hui. Beaucoup de groupes se sont lancés (et se lancent encore) pour « simplifier » la discussion entre plusieurs personnes d’horizons différents. En témoignent d’ailleurs certains messages d’ouverture des groupes qui vantent la simplicité d’utilisation du service pour leurs usages, sans penser une seconde à la confidentialité.
Sur la plupart des groupes qui ne sont plus actifs, il y a quand même des messages parfois publiés au fil du temps : du spam, en masse, pour des sites plus que douteux.
La (molle) réponse de Google
L’ampleur du phénomène est telle qu’il nous est impossible de contacter l’ensemble des groupes divulguant des données personnelles. Nous avons contacté plusieurs associations, leur avons expliqué comment faire pour limiter la visibilité, mais face à la déferlante de résultats, ce n’est qu’une petite goutte d’eau. Nous ne parlons là que des groupes récents, la chance d’avoir une réponse sur ceux abandonnés depuis plus de 10 ans est proche de zéro.
Une autre approche serait de basculer, par défaut, l’ensemble des groupes sur une visibilité limitée aux membres. C’est le cas pour les nouveaux groupes lors d’une création, comme nous avons pu le confirmer encore récemment.
Nous avons aussi contacté Google, en lui demandant s’il comptait agir sur cette problématique et, si oui, de quelle manière. Comme indiqué précédemment, Google nous rappelle que « les Groupes sont privés par défaut, et ce sont les propriétaires de ces Groupes qui contrôlent ces paramètres ».
« S’il y a des exemples de contenus de Groupe qui violent les règles de contenu ou nos conditions d’utilisation, les utilisateurs peuvent alerter sur le sujet en suivant ce process (par groupe ou par message) », ajoute Google. Pas de changement de masse sur les Groupes donc, mais un traitement au cas par cas suite à des signalements.
Dans le règlement relatif au contenu de Google Groupes, un paragraphe est dédié aux « informations personnelles et confidentielles : il est interdit de communiquer les informations personnelles et confidentielles d’autrui telles que les numéros de carte de paiement, les numéros de Sécurité sociale, les numéros de téléphone sur liste rouge et les numéros de permis de conduire. Sachez que, dans la plupart des cas, les informations déjà disponibles sur Internet ou dans des archives publiques ne sont pas considérées comme privées ou confidentielles selon notre règlement ».
Hasard ou pas du calendrier, Google vient d’annoncer des changements pour les Groupes avec la mise en place pour tout le monde d’une option permettant de les verrouiller pour « empêcher les modifications sensibles ». Quand un groupe est « locked », cela « restreint considérablement la possibilité de modifier les attributs du groupe, tels que le nom et l’adresse e-mail) et les membres ». Cette fonction permet d’« éviter qu’il ne se désynchronise avec une source externe ».
Une fois activé, seuls certains administrateurs peuvent modifier le nom, la description, l’adresse e-mail, les alias, ajouter ou retirer des membres, supprimer le groupe, configurer une restriction d’adhésion, qui peut rejoindre le groupe, ce qu’il en est pour les membres externes, etc.
Dans tous les cas, cela ne change rien pour les données déjà exposées sur Internet dans les Google Groupes.
Commentaires (18)
Abonnez-vous pour prendre part au débat
Déjà abonné ou lecteur ? Se connecter
Cet article est en accès libre, mais il est le produit d'une rédaction qui ne travaille que pour ses lecteurs, sur un média sans pub et sans tracker. Soutenez le journalisme tech de qualité en vous abonnant.
Accédez en illimité aux articles d'un média expert
Profitez d'au moins 1 To de stockage pour vos sauvegardes
Intégrez la communauté et prenez part aux débats
Partagez des articles premium à vos contacts
Abonnez-vousLe 02/07/2025 à 10h17
Ne faudrait-il pas envoyer une alerte officiellement à la CNIL pour défaut de RGPD ?
"Les défauts de sécurisation des données sont désormais un motif récurrent de plainte."
Il faudrait que l'Europe ou la CNIL demande officiellement de verrouiller la visibilité de tous les comptes existants à leurs seuls membres et des les en informer.
Le 02/07/2025 à 10h42
Sans changer unilatéralement la visibilité des groupes, Google pourrait par contre désactiver tous ceux sur lesquels une inactivité est repérée et rendre possible la réactivation par l'administrateur du groupe...
Le 02/07/2025 à 11h39
C'est ce qui se passe quand on ne met pas en place de solutions locales (et perenne) pour au moins juguler le pouvoir de diffusion en cas de souci. Sur un petit serveur isolé dans la structure cela aurait moins d'impact (hôpital, agence, etc.).
L'ignorance des utilisateurs qui a une grande part de responsabilité dans ce cas, n'excuse pas pour autant Google d'une gestion un peu relâchée. Des entités inactives devrait au moins être mise en retrait (pas que les groupes). Ou un processus d'extinction avec prévenance. Le droit à l'oubli n'est pas de la partie visiblement.
L'éducation n'est pas de la partie non plus. Cela permettrait d'au moins ne pas trop gaffer.
Merci FaceBook !
Modifié le 02/07/2025 à 15h09
Il y a quelques mois, je tombe sur un groupe d'une petite agence d'assurance immobilière dans le sud de la France. Le groupe sert d'échange entre la société et un comptable externe. On y trouve des factures, des devis, etc. et surtout, les bulletins de salaire envoyés par mail
J'ai contacté le dirigeant par mail, et le groupe a été passé en privé le lendemain. Pas un merci, rien. J'aurais dû contacter la CNIL pour qu'il se fasse défoncer
J'ai contacté aussi :
Pas une réponse, et il y a quelques mois, ces groupes étaient encore publics et actifs.
Le 02/07/2025 à 18h03
Le 04/07/2025 à 08h29
Là, j'avoue ne pas trop savoir comment faire. La CNIL ? Vu les délais de traitement... Le RT ? Mais comme la plupart ne répondent pas (surtout pour les groupes oubliés). Le sous-traitant ? Peut-être. En précisant éventuellement une violation des CGU si des info confidentielles sont échangées. La justice ? Pas certains que l'on puisse si on n'est pas directement concerné. L'ANSSI peut être ?
Par contre, un métier à ordre (avocat, architect), perso, je contacterai directement l'ordre dans ce cas.
Le 04/07/2025 à 08h44
Par contre, la CNIL peut s'autosaisir, donc il reste possible de la contacter directement. Même si c'est pas forcément très évident... Dans le cas de l'exemple que je cite, c'est via une révélation de journaliste. Donc faut que ça fasse un peu de bruit quand même...
Dans tous les cas, ça ne coûte rien d'utiliser leur formulaire de contact pour envoyer ces éléments.
Quand on parle de données personnelles et d'application du RGPD, seule la CNIL est compétente sur le sujet en France à ma connaissance.
L'ANSSI n'a aucun pouvoir sur les organismes privés et la justice ne pourra être saisit qu'en cas de préjudice subit pour demander réparation.
Le 04/07/2025 à 15h08
Par contre en contactant des acteurs privés pour leur signaler les fuites, j'ai eu une fois un merci, mais sinon ... rien.
Le 04/07/2025 à 09h07
Modifié le 02/07/2025 à 23h54
Exemple:
yh@sitewalgreensweb8.net
456666 membres
Je ne vois que des emails yahoo
... et il semble que j'aie les droits d'en fermer certains...
Le 07/07/2025 à 23h42
J'avoue qu'un petit outil "check si tu es sur GG" serait vraiment pratique pour s'assurer que ses données ne sont pas dans la nature.
Le 12/07/2025 à 02h45
Je suis juste allé sur le site google groupe connecté avec une de mes adresses google et dans la section "mes groupes" jai trouvé 6 ou 7 groupes qui ne ressemblaient pas à grand chose: aucune discussion, juste une liste de participants. J'y ai cherché mon adresse google et n'ai rien trouvé. Toutes les adresses mail des participants étaient sur yahoo. J'ai donc testé mon adresse yahoo et là je l'ai bien trouvée sur tous ces groupes.
Pourquoi je retrouve mon adresse yahoo sur des groupes que je vois en me loggant avec mon adresse gmail... tout ça alors que je ne connaissais pas les google groups avant d'avoir lu l'article ? Aucune idée !
Le 04/07/2025 à 09h27
Genre un service de base, un catch-all ?
Le 04/07/2025 à 09h53
Le 26/12/2025 à 12h31
Ex. Mmemichu@mailo.com te permet d'utiliser mmemichu++facedebouc@mailo.com et autres variations sans besoin de faire une manip à chaque fois
Le 26/12/2025 à 13h40
Le 26/12/2025 à 14h19
Merci pour la précision
Le 27/12/2025 à 18h46
Aucune réponse de mailo suite aux demande d'explications émanant des personnes qui gèrent ces domaines.
Je n'apprécie pas que les alternatives aux GAFAM aient si peu de considération pour les autres.
Signaler un commentaire
Voulez-vous vraiment signaler ce commentaire ?