Google +: Quelle est l'ampleur de la faille de sécurité?

WEB Facebook fin septembre et maintenant Google+, les failles de sécurité se multiplient et concernent tous les sites des grandes entreprises...

V. J.

— 

Une femme devant le logo de Google.
Une femme devant le logo de Google. — PATTIER MATHIEU/SIPA

Après les 50 millions de comptes Facebook piratés, ce sont maintenant 500.000 utilisateurs de Google + qui ont vu leurs données personnelles exposées à cause d’une faille de sécurité. Si le géant d’Internet affirme l’avoir colmatée dès sa découverte en mars dernier, il aura mis tout de même six mois pour rendre public l’information et sa réponse officielle, à savoir la fermeture pure et simple du réseau social.

« Google avait en tête de construire un réseau social concurrent de Facebook, rappelle Gérôme Billois, expert en cybersécurité chez Wavestone​. A partir de 2015, il est devenu possible d’ajouter des applications tiers à son profil, exactement comme sur Facebook. Sauf qu’ils se sont rendu compte que ceux qui proposaient ces applis pouvaient alors voir les données des utilisateurs. On parle de 400 développeurs tiers environ. »

Plus de verrou public/privé

« Nom, prénom, mail, photo de profil, sexe, activité professionnelle… Des informations que l’utilisateur pouvait rendre public ou privé, précise l’expert. Le bug a fait sauter le verrou public/privé, et c’est comme si 500.000 utilisateurs s’étaient retrouvés avec leur profil en public sans rien demander. » Gérôme Billois relativise ainsi l’importance de cette faille de sécurité, sans commune mesure avec celle de Facebook et avec le scandale Cambridge Analytica.

Par exemple, pas d’inquiétude, votre compte Gmail n’est pas touché : « Si vous aviez un compte Gmail, on vous créait automatiquement un compte Google +, même si vous ne le complétiez pas ou ne vous en serviez pas. Mais ce n’est pas réversible, les développeurs tiers n’avaient pas accès à votre boîte et vos mails. »

« Google + était mort-né »

Quant à la réaction de Google et la fermeture de son réseau social, ce n’est pas une surprise, plus un dommage collatéral. « Ils ne s’en cachent même pas, commente le spécialiste en cybersécurité. Google + était mort-né, ils ne l’auraient pas fermé s’il avait eu du succès. Facebook a connu pire, et est toujours là. Il ne faut pas oublier que 90 % des utilisateurs de Google + y restaient moins de cinq secondes. »

Le plus inquiétant pour Gérôme Billois est que Facebook et Google ne sont pas les seuls à avoir des failles de sécurité, mais sont les seuls dont on parle dans les médias : « Nous venons de sortir une étude sur la sécurité des sites de grandes entreprises, et sur les 140 analysés, 100 % possèdent une faille de sécurité, dont 52 % une faille équivalente à ce qui est arrivé à Google ou Facebook ».

Mais comme peu de gens s’en émeuvent, les sociétés ne font pas toujours les investissements nécessaires à leur sécurité, et la situation stagne, les failles se multiplient. « Le risque est qu’avec ces failles à répétition les gens se détournent de l’usage numérique, pourtant incontournable. Qu’une crainte et défiance généralisées naissent. »