Faille Google+ : que risque Google après avoir laissé 500 000 comptes à la merci des pirates ?

Google Google+ a été fermé surfondu de déshérence, mais aussi comme l’a révélé Google, d’une faille de sécurité qui a potentiellement exposé les données personnelles de 500 000 comptes utilisateurs. Une nouvelle affaire qui entache la réputation des GAFAM, en particulier leur utilisation des données personnelles des utilisateurs et la manière dont ils les protègent. Pour autant, comme vous allez le voir, les risques sont plus en termes d’image et de régulation, que juridiques, malgré le RGPD.

google plus

Il y a l’art et la manière d’annoncer la mort d’un service. Google n’en est pas à son premier échec, et on aurait pu penser que la firme savait manier suffisamment les mots pour faire de la fermeture définitive de Google+ un succès – bien qu’à l’évidence il s’agit d’un échec cuisant pour un service qui avait l’ambition de concurrencer Facebook. Du reste, Google a annoncé la fermeture de Google+ tout en révélant… avoir caché pendant 6 mois une faille de sécurité qui a exposé les données personnelles de 500 000 comptes (estimation). Une faille qui existait depuis 2015, mais qui n’aurait pas été exploitée, assure Google, qui se montre dans le même temps incapable de prévenir les personnes qui auraient été touchées.

Faille de sécurité Google+ : pourquoi le RGPD ne s’appliquera vraisemblablement pas

L’Union européenne a déjà plusieurs fois condamné Google pour pratiques anti-concurrentielles – la dernière amende en date de plus de 4,3 milliards d’euros, constitue même un record inégalé. Bruxelles semble donc plutôt prompt à appliquer strictement les textes en vigueur à l’encontre des GAFAM. Alors quid du Réglement Général de Protection des Données (RGPD) ? En effet, ce texte impose normalement à Google de révéler une faille dans les 72 heures suivant sa découverte (contre 6 mois dans le cas d’espèce).

Le RGPD est entré en vigueur deux mois après la découverte de la faille. Pour autant, normalement, le RGPD s’applique aussi bien aux nouvelles données personnelles que rétroactivement sur les données personnelles de citoyens européens stockées dans le passé. Google se défend en arguant que la faille dont il est question a été corrigée dès sa découverte, avant qu’elle n’ait pu être exploitée par des pirates. Elle était pourtant inconnue de la firme jusqu’à il y a peu, et Google admet ne pas pouvoir prévenir les utilisateurs touchés à cause de logs qui ne remonteraient pas à plus de deux semaines.

438 applications ont pu accéder l’API (interface de programmation) Google+ responsable de cette faille. Et des personnes mal intentionnées ont pu tout à fait l’exploiter entre 2015 et 2018 sans laisser aucune trace. On ne sait donc pas encore si le RGPD est définitivement hors de l’équation. Mais affirmer que la faille de sécurité n’a pas été exploitée par des pirates permet par ricochet à Google de ne pas avoir à informer les autorités aux Etats-Unis. Par ailleurs, Google ne reste pas les bras croisés et fait montre d’efforts en annonçant une totale refonte de son système d’API, pour éviter ce genre de failles à l’avenir.

Autant d’éléments qui ne semblent pas placer Google dans le même cas de figure que les pratiques anticoncurrentielles l’ayant conduite à être condamné par Bruxelles. Le point de départ le plus probable d’un éventuel volet judiciaire pourrait ainsi davantage venir d’une action collective de clients payants de G Suite. Selon les CGU du service, ces derniers doivent en effet être « prévenus immédiatement de tout incident impliquant leurs données ». Mais il ne semble pas qu’un tel cas de figure soit vraiment une catastrophe pour Google.

Ce que risque vraiment Google, c’est le passage de lois qui limitent l’utilisation des données personnelles

Comme l’explique le Wall Street Journal, Google a volontairement joué la montre, pour éviter de « relancer l’intérêt [du législateur] pour réguler » davantage l’entreprise dans le sillage des scandales ayant affecté Facebook. Les GAFAM sont de plus en plus dans le viseur de la classe politique partout dans le monde, et en particulier aux Etats-Unis. Les scandales à répétition qui ont affecté Facebook n’ont jusqu’ici que peu affecté Google, comme le relève un cadre de l’entreprise cité par le Wall Street Journal : « si cet incident est révélé, nous serions sans doute associés à Facebook, alors qu’on est passés sous les radars pendant Cambridge Analytica ». 

Des lois qui rencontrent aujourd’hui un soutien public assez fort, alors que c’était pratiquement impensable il y a encore quelques années. Google, comme Facebook sont passé de start-up sympathiques à des géants hégémoniques qui ont façonné internet à leur image, et inventé une façon de le monétiser en vendant des données précises sur les internautes à des annonceurs. Le pouvoir de Google est au centre de cet enjeu : la firme commence à être très critiquée pour son appétit insatiable, d’autant qu’elle touche une quantité considérable d’internautes.

Chaque affaire, comme la collaboration avec le Pentagone, la condamnation pour pratiques anti-concurrentielles ou l’annonce de la faille de sécurité dissimulée de 500 000 comptes Google+ consécutive à la fermeture du service rapprochent ainsi la firme d’une nouvelle ère, dans laquelle Google ne pourra sans doute plus en faire qu’à sa tête avec les données des utilisateurs. Au risque de forcer Google à changer de modèle économique ? Cette question de l’image et le risque du passage de nouvelles lois semblent ainsi bien plus inquiétants pour Google que d’éventuelles actions en justice.

Réagissez à cet article !
Abonnez-vous gratuitement à la newsletter
Chaque semaine, le meilleur de Phonandroid dans votre boite mail !
Demandez nos derniers articles !
Comment activer et désactiver le mode sombre sur Instagram ?

Depuis quelques jours, un thème sombre est disponible pour Instagram. Pour en profiter sur votre smartphone Android ou iOS, vous devez d’abord installer la dernière version du système d’exploitation. On vous explique comment faire dans les détails pour activer ce…

Instagram supprime la page abonné(e) qui permettait d’espionner ses amis

Instagram retire une fonction qui permettait aux utilisateurs d’espionner les activités de leurs amis. Certains l’utilisaient régulièrement pour suivre toutes activités de leurs contacts sur le réseau social : likes, commentaires, nouveaux abonnements, etc. Instagram vient d’annoncer que la fonction…

Twitter : la programmation des tweets pourrait bientôt arriver

Jane Manchun Wong est une programmeuse qui examine le code des applications en phase bêta pour révéler sur Twitter les prochaines nouveautés. Elle nous informe aujourd’hui que Twitter travaille sur la programmation des tweets depuis l’application Web. Si Twitter regorge…

Facebook veut lire vos pensées avec un bracelet connecté

Facebook vient d’acquérir une stratup, CTRL-Labs, dans le but de concevoir un bracelet connecté capable de lire vos pensées en décodant les signaux qui circulent dans les nerfs de votre poignet. Pour l’heure, le réseau social décrit son projet comme…

WhatsApp : vous pouvez désormais partager vos statuts sur Facebook

WhatsApp permet désormais de partager facilement des statuts sur Facebook. C’est en toute discrétion que l’option a été déployée dans la dernière mise à jour. Elle était en test depuis juin dernier auprès des utilisateurs de la version bêta. Voici…