Un panneau Google à Shanghaï (Chine), en septembre. ALY SONG / REUTERS

Le Wall Street Journal a révélé, lundi 8 octobre, qu’une faille de sécurité du réseau social Google +, lancé par Google en 2011 pour concurrencer Facebook, a mis en danger les données personnelles de ses utilisateurs. Selon l’article du quotidien américain, des informations personnelles des comptes étaient accessibles de manière non prévue, par l’interface de programmation du service (API, un ensemble de règles et de logiciels qui permettaient à des services extérieurs de se « brancher » sur Google +, par exemple pour se connecter.

Ce « bug » inscrit dans le code de Google + est resté en ligne durant trois ans, entre 2015 et 2018, selon le Wall Street Journal, avant que Google ne découvre le problème en mars de cette année lors d’un audit interne, et décide de le corriger sans prévenir ni les autorités de régulation ni ses utilisateurs.

Un scénario qu’a confirmé Google lundi dans un communiqué, détaillant l’étendue des informations d’utilisateurs auxquelles ont pu avoir accès des applications tierces à partir de cette faille. Dans son texte, publié dans la foulée des révélations du Wall Street Journal, Google a annoncé la fermeture de Google + pour le grand public dans les dix mois à venir, en raison, notamment, de ce problème. Les utilisateurs pourront profiter de cette période pour exporter leurs données, avant fermeture du réseau social.

Lire aussi Sur Google+, des communautés toujours bien vivantes

500 000 comptes vulnérables pendant deux semaines

Selon les précisions de Google, ce sont 500 000 comptes dont les données ont été vulnérables sur une période de quinze jours, pendant laquelle l’entreprise a pu mesurer l’étendue du problème. Elle a aussi identifié 438 applications utilisant l’API de Google + qui auraient potentiellement pu avoir accès à ces données pendant cette période.

Google assure cependant n’avoir constaté aucun cas de collecte ou de mauvaise utilisation de ces accès. « Nous n’avons trouvé aucune preuve qu’un développeur se soit rendu compte de ce bug, ou ait exploité l’API de Google + en ce sens, et nous n’avons trouvé aucune preuve que des données de profil Google + ont été utilisées à mauvais escient », écrit l’entreprise.

Mais Google ne stocke ce type d’informations que durant deux semaines : les données d’utilisateurs Google + concernées ont donc pu être aspirées à n’importe quel moment entre 2015 et le début de 2018 sans que l’opération laisse de traces évidentes.

En 2015, le service revendiquait plus de 110 millions d’utilisateurs actifs – mais plusieurs centaines de millions d’autres internautes disposent, parfois sans le savoir, d’un compte Google +, créé automatiquement, depuis 2012, lors de l’inscription à certains services, comme Gmail. Quelle proportion de ces utilisateurs utilisait des services se connectant à l’API de Google + et était donc potentiellement vulnérable ? Google ne le dit pas.

Dans son communiqué, l’entreprise détaille aussi ce à quoi les applications, développées par des services extérieurs à Google, ont pu avoir accès : principalement, des informations personnelles d’utilisateurs qui n’étaient pas censées être partagées publiquement. Parmi elles, le nom, l’adresse de messagerie, l’emploi, l’âge et le genre des utilisateurs. Google précise que les applications tierces concernées n’ont pas eu accès, en revanche, aux messages postés sur le réseau social, ni aux informations des comptes Google liées, comme les numéros de téléphone ou les données associées.

Manque de transparence

D’après un mémorandum interne consulté par le Wall Street Journal, Google aurait hésité à rendre publique la découverte de cette faille. Et aurait finalement décidé de la corriger tout en gardant son existence secrète, afin d’éviter « d’être mis sous le feu des projecteurs avec ou à la place de Facebook ».

Au moment de la découverte de la faille, Facebook était en effet au cœur d’un vaste scandale lié à l’utilisation par l’entreprise Cambridge Analytica de données personnelles captées sur des comptes du réseau social fondé par Mark Zuckerberg. Ces données avaient été utilisées à des fins politiques, pour soutenir la campagne présidentielle de Donald Trump en 2016 ou, la même année, la campagne du Brexit au Royaume-Uni. Elles avaient été collectées en utilisant une fonctionnalité de Facebook qui les rendait facilement accessibles, et l’entreprise avait été vivement critiquée, y compris par plusieurs gouvernements et commissions parlementaires aux Etats-Unis et en Europe.

A quelques semaines près, Google n’aurait eu aucun choix en la matière : en Europe, le règlement général sur la protection des données (RGPD) impose de communiquer aux régulateurs de la vie privée la découverte d’une faille de ce type. Mais aussi d’informer les utilisateurs concernés par une fuite de données, le cas échéant. Le texte est entré en vigueur en mai 2018. Aux Etats-Unis, les grandes entreprises ne sont tenues d’annoncer la découverte de ce type de failles que si des données ont effectivement été dérobées.

Outre la correction de la faille, Google a annoncé, lundi, qu’il procédait à une importante refonte de son système d’API. La manière dont des services tiers pourront désormais accéder à des informations sensibles, notamment les données issues de Gmail ou de l’application SMS pour Android, sera désormais plus limitée. Ces changements, positifs mais très techniques, ne semblent pas de nature à faire oublier que l’entreprise a volontairement caché l’existence d’une faille touchant l’un de ses services.