Google+ fermera dès avril, une faille touchant 52,5 millions d’utilisateurs découverte

L'officialisation d'une première faille dans Google+ entrainait l'annonce de sa fermeture pour le grand public. Une seconde accélère le mouvement. Pendant six jours, des données de 52,5 millions d'utilisateurs étaient accessibles aux applications tierces. Les API seront coupées dans 90 jours, la fermeture est pour avril.

Il y a un mois, on apprenait que le grand public ne pourrait plus accéder à Google+ à compter d'août 2019. Plusieurs raisons étaient mises en avant : une baisse des fréquentations, « des interactions limitées avec les applications » et surtout un bug qui laissait accessibles des données personnelles d'environ 500 000 utilisateurs.

Ces derniers mois, même des comptes officiels de Google quittaient le navire. Aujourd'hui, on apprend via un billet de blog que les modifications prévues sont « accélérées » : la fermeture pour le grand public est avancée à avril 2019. Toutes les API Google+ seront coupées « dans les 90 jours ». Une précipitation due à la découverte d'un nouveau « bug » d'envergure.

Des données de 52,5 millions d'utilisateurs accessibles pendant six jours

Selon le géant du Net, la faille avait été introduite lors d'une mise à jour en novembre et affectait pas moins de 52,5 millions d'utilisateurs. C'est largement plus que les 500 000 annoncés en octobre, mais sur une période bien plus courte : six jours contre plus deux ans pour la première brèche.

La société affirme l'avoir découverte d'elle-même lors d'un contrôle de sécurité. Elle a été corrigée une semaine plus tard. Aucune tierce partie n'aurait compromis ses systèmes. Comme avec la première faille, Google+ tente de rassurer malgré l'étendue des dégâts : « Nous n'avons aucune preuve indiquant que des développeurs d'applications ayant eu cet accès par inadvertance étaient au courant ou en avaient fait un usage abusif ».

Pas de donnée financière ou de mot de passe

Cette fois encore, l'API People est pointée du doigt. Elle donnait accès aux nom, email, profession, âge et autres informations du genre, même si ces éléments étaient indiqués comme non publics. Via cette brèche, des applications pouvaient également accéder à des détails qu'un utilisateur avait décidé de partager avec un autre.

Aucune donnée financière, numéro d’identification national, mots de passe et « données similaires généralement utilisées pour la fraude ou le vol d’identité » n'était visible par les applications tierces, affirme Google sur son blog.

Google+ continuera de vivre dans G Suite

Si Google+ va fermer pour le grand public, le réseau social restera actif pour les professionnels à travers G Suite. Les entreprises sont également concernées par ce bug, mais le géant du Net ne donne pas plus de détail et se contente d'indiquer que celles qui ont été affectées par ce bug sont en train d'être notifiées.

Comme en octobre lors de l'annonce de la mise à mort du réseau social, Google réaffirme qu'elle « continuera d’investir dans Google+ pour les entreprises ». Espérons que le paquet sera enfin mis sur la sécurité des données.

Sundar Pichai devant le Congrès aujourd'hui

Hasard (ou non) du calendrier, cette annonce arrive juste avant une audition de Sundar Pichai (directeur général de Google) devant la commission judiciaire du Congrès américain, comme le rappelle Reuters. Il y sera notamment question de la collecte des données par le moteur de recherche.

Nos confrères ajoutent que certains membres du Congrès (républicains et démocrates) « ont appelé à l’instauration de nouvelles règles de confidentialité destinées à mieux contrôler Google, Facebook et d’autres géants de la technologie américains ». Cette nouvelle faille de sécurité sur 52,5 millions d'utilisateurs devrait certainement faire parler d'elle.