Faille de sécurité sur Google+: Google a attendu six mois avant de révéler le bug

WEB Les données privées de 500.000 comptes Google+ ont été mal protégées, et l'entreprise aurait volontairement tardé pour révéler l'affaire...

Philippe Berry

— 

 Illustration : Logo Google : Station F
Illustration : Logo Google : Station F — NICOLAS MESSYASZ/SIPA

En matière de sécurité informatique, le plus grave est souvent moins la faille que le manque de transparence qui suit. Lundi, Google a annoncé qu’il fermait son réseau social moribond Google +, révélant au passage que les données privées de 500.000 comptes avaient été mises en danger par un bug découvert en mars. L’entreprise, qui a mis six mois avant d’informer le public, a volontairement joué la montre, affirme le Wall Street Journal, afin de ne pas être prise dans la tourmente du scandale Facebook/Cambridge Analytica au printemps dernier.

Selon le quotidien économique, une note interne rédigée par les services juridiques de Google a conclu que révéler le bug, en mars, « relancerait immédiatement l’intérêt [gouvernemental] pour réguler » davantage l’entreprise, avec le risque que l’affaire soit comparée avec le scandale Cambridge Analytica.

Un bug mais pas de violation des données (a priori)

Les deux affaires ne sont pas comparables. Facebook a sciemment laissé pendant des années les développeurs d’apps accéder aux données personnelles des « amis d’amis », ce qui a permis à un professeur de siphonner les informations de plus de 80 millions d’utilisateurs sans leur consentement. Puis de les vendre à Cambridge Analytica, qui les a utilisées à des fins électorales. Google, de son côté, laissait les développeurs collecter les informations publiques des profils de Google +. Mais un bug permettait, en théorie, d’accéder à des informations privées (nom, photo, adresse email, sexe, profession et âge). L’entreprise assure toutefois que personne ne semble avoir découvert et exploité cette faille.

En clair, Google avait laissé la porte ouverte, mais personne n’en aurait profité, selon l’entreprise. Il n’y aurait donc pas eu de violation de données, tel que le définit par exemple le RGPD européen. Donc, pas d’obligation d’avertir le public ou les autorités. Un professeur de Stanford, Arvind Narayana, explique en substance sur Twitter que si toutes les entreprises étaient forcées de dévoiler chaque bug découvert, même ceux qui n’ont pas été exploités, on n’en finirait plus.

Google ne sait pas quels utilisateurs ont été touchés

L’affaire se complique. Google ne sait pas quels comptes ont été touchés par le bug, et ne peut donc pas prévenir les utilisateurs concernés. La raison est presque ironique : le journal des accès des développeurs aux données n’était conservé que deux semaines, pour des raisons de vie privée. Avant de colmater la faille, Google a mené un audit et estime que 500.000 comptes ont été « potentiellement affectés ».

Selon le Wall Street Journal, le bug a été découvert en mars, mais il existait depuis 2015. Comment Google peut-il être certain que davantage de comptes n’ont pas été concernés, avec des archives effacées toutes les deux semaines ? Contactée par 20 Minutes, l’entreprise n’avait pas répondu lundi soir.

Le mois dernier, alors que les patrons de Twitter et de Facebook sont venus faire leur mea culpa devant le Congrès, celui de Google avait refusé de faire le déplacement. Face à la colère des élus, Sundar Pichai a finalement accepté une invitation à venir témoigner devant des élus américains en novembre prochain. Il va avoir des comptes à rendre.