Faille Google+ : que risque Google après avoir laissé 500 000 comptes à la merci des pirates ?

Google Google+ a été fermé surfondu de déshérence, mais aussi comme l’a révélé Google, d’une faille de sécurité qui a potentiellement exposé les données personnelles de 500 000 comptes utilisateurs. Une nouvelle affaire qui entache la réputation des GAFAM, en particulier leur utilisation des données personnelles des utilisateurs et la manière dont ils les protègent. Pour autant, comme vous allez le voir, les risques sont plus en termes d’image et de régulation, que juridiques, malgré le RGPD.

google plus

Il y a l’art et la manière d’annoncer la mort d’un service. Google n’en est pas à son premier échec, et on aurait pu penser que la firme savait manier suffisamment les mots pour faire de la fermeture définitive de Google+ un succès – bien qu’à l’évidence il s’agit d’un échec cuisant pour un service qui avait l’ambition de concurrencer Facebook. Du reste, Google a annoncé la fermeture de Google+ tout en révélant… avoir caché pendant 6 mois une faille de sécurité qui a exposé les données personnelles de 500 000 comptes (estimation). Une faille qui existait depuis 2015, mais qui n’aurait pas été exploitée, assure Google, qui se montre dans le même temps incapable de prévenir les personnes qui auraient été touchées.

Faille de sécurité Google+ : pourquoi le RGPD ne s’appliquera vraisemblablement pas

L’Union européenne a déjà plusieurs fois condamné Google pour pratiques anti-concurrentielles – la dernière amende en date de plus de 4,3 milliards d’euros, constitue même un record inégalé. Bruxelles semble donc plutôt prompt à appliquer strictement les textes en vigueur à l’encontre des GAFAM. Alors quid du Réglement Général de Protection des Données (RGPD) ? En effet, ce texte impose normalement à Google de révéler une faille dans les 72 heures suivant sa découverte (contre 6 mois dans le cas d’espèce).

Le RGPD est entré en vigueur deux mois après la découverte de la faille. Pour autant, normalement, le RGPD s’applique aussi bien aux nouvelles données personnelles que rétroactivement sur les données personnelles de citoyens européens stockées dans le passé. Google se défend en arguant que la faille dont il est question a été corrigée dès sa découverte, avant qu’elle n’ait pu être exploitée par des pirates. Elle était pourtant inconnue de la firme jusqu’à il y a peu, et Google admet ne pas pouvoir prévenir les utilisateurs touchés à cause de logs qui ne remonteraient pas à plus de deux semaines.

438 applications ont pu accéder l’API (interface de programmation) Google+ responsable de cette faille. Et des personnes mal intentionnées ont pu tout à fait l’exploiter entre 2015 et 2018 sans laisser aucune trace. On ne sait donc pas encore si le RGPD est définitivement hors de l’équation. Mais affirmer que la faille de sécurité n’a pas été exploitée par des pirates permet par ricochet à Google de ne pas avoir à informer les autorités aux Etats-Unis. Par ailleurs, Google ne reste pas les bras croisés et fait montre d’efforts en annonçant une totale refonte de son système d’API, pour éviter ce genre de failles à l’avenir.

Autant d’éléments qui ne semblent pas placer Google dans le même cas de figure que les pratiques anticoncurrentielles l’ayant conduite à être condamné par Bruxelles. Le point de départ le plus probable d’un éventuel volet judiciaire pourrait ainsi davantage venir d’une action collective de clients payants de G Suite. Selon les CGU du service, ces derniers doivent en effet être « prévenus immédiatement de tout incident impliquant leurs données ». Mais il ne semble pas qu’un tel cas de figure soit vraiment une catastrophe pour Google.

Ce que risque vraiment Google, c’est le passage de lois qui limitent l’utilisation des données personnelles

Comme l’explique le Wall Street Journal, Google a volontairement joué la montre, pour éviter de « relancer l’intérêt [du législateur] pour réguler » davantage l’entreprise dans le sillage des scandales ayant affecté Facebook. Les GAFAM sont de plus en plus dans le viseur de la classe politique partout dans le monde, et en particulier aux Etats-Unis. Les scandales à répétition qui ont affecté Facebook n’ont jusqu’ici que peu affecté Google, comme le relève un cadre de l’entreprise cité par le Wall Street Journal : « si cet incident est révélé, nous serions sans doute associés à Facebook, alors qu’on est passés sous les radars pendant Cambridge Analytica ». 

Des lois qui rencontrent aujourd’hui un soutien public assez fort, alors que c’était pratiquement impensable il y a encore quelques années. Google, comme Facebook sont passé de start-up sympathiques à des géants hégémoniques qui ont façonné internet à leur image, et inventé une façon de le monétiser en vendant des données précises sur les internautes à des annonceurs. Le pouvoir de Google est au centre de cet enjeu : la firme commence à être très critiquée pour son appétit insatiable, d’autant qu’elle touche une quantité considérable d’internautes.

Chaque affaire, comme la collaboration avec le Pentagone, la condamnation pour pratiques anti-concurrentielles ou l’annonce de la faille de sécurité dissimulée de 500 000 comptes Google+ consécutive à la fermeture du service rapprochent ainsi la firme d’une nouvelle ère, dans laquelle Google ne pourra sans doute plus en faire qu’à sa tête avec les données des utilisateurs. Au risque de forcer Google à changer de modèle économique ? Cette question de l’image et le risque du passage de nouvelles lois semblent ainsi bien plus inquiétants pour Google que d’éventuelles actions en justice.

Réagissez à cet article !
Abonnez-vous gratuitement à la newsletter
Chaque semaine, le meilleur de Phonandroid dans votre boite mail !
Demandez nos derniers articles !