Google+, c’est quoi ?

Google+ est un réseau social lancé en 2011 par Google. Ce réseau fonctionnait grâce au principe de “cercles”.

Le but de Google était de proposer un réseau social regroupant tous vos contacts en les classants de manière bien distincte : “famille”, “amis”, “collègues” afin que la photo de votre neveu ne soit pas partagé avec vos collègues.

Dans les faits, le système n’ayant jamais été en capacité de concurrencer Facebook, Google a donc transformé ce service en “hub” regroupant tous les services Google destinés au grand public.

Ce “hub” permettait de gérer, entre autre, les commentaires youtube et google photos, ainsi que la synchronisation des conversations Hangout.

Un problème de conception du réseau social ?

Le but de Google était d’ouvrir l’accès aux développeurs afin qu’ils puissent créer des outils tiers basés sur les données personnelles des utilisateurs avec l’accord de ceux-ci.

En amont Google vérifiait que la confidentialité des données soit respectée, et détectait si les utilisateurs n’utilisait pas la plateforme par soucis de confidentialité.

Ce principe fait que les risques liés à l'utilisation des données des utilisateurs sont trop importants.

Définition API

API est un interface de programmation. Les développeurs travaillent avec des API pour créer des logiciels et des applications. Il est rare que l’utilisateur final interagisse directement avec une API.

Les API fonctionnent comme une porte d’entrée, permettant aux entreprises de partager des informations sélectionnées, mais aussi de garder les demandes non désirées.

Une faille détectée

Une faille dans l’API Google+ a été détectée, mettant en péril les données de 500 000 utilisateurs sur une période de deux semaines. Même si les données sont limitées (nom, adresse électronique, genre, âge,..) Google est en incapacité de dire si la faille a pu être exploitée par les applications utilisants l’API. En effet les logs ne sont conservés que pendant 2 semaines, l’enquête interne de google était donc limitée.

Au final, entre 2015 et 2018, toutes les données des comptes ont pu être récupérées sans que google s’en aperçoive. La portée du risque reste néanmoins limitée par le grand nombre de comptes inactifs.

Etat des lieux

Le réseau comptait, en 2015, 110 millions d’utilisateurs actifs. Un chiffre cependant non représentatif de l’utilisation réelle de la plateforme. D’une part car la majorité des comptes Google+ sont créés lors de l'inscription aux services Google (dont Gmail), l’inscription est donc automatique et ne nécessite pas une démarche spécifique à l’internaute. D’autre part parce que les études ont montré 90% des utilisateurs restaient en moyenne 5 secondes sur la plateforme.

Un soucis de rentabilité

La question était donc simple pour le géant américain:

“Doit-on continuer le service pour une poignée d’utilisateurs, malgré les risques pour la confidentialité des données des utilisateurs ?”

La réponse est: NON

Pourquoi n'en a-t-on pas entendu parler lors du scandale  Cambridge Analytica ?

La découverte de la faille se déroule au même moment que le scandal concernant Facebook.

Le réseau social créé par Mark Zuckerberg, est accusé d’avoir donné à Cambridge Analytica l’accès aux données des utilisateurs à des fins politiques lors de la campagne de Donald Trump pour la présidence des Etats-Unis, ainsi que pour la campagne du Brexit au Royaume-Uni.

Ces données étaient facilement accessibles via une fonctionnalité de Facebook.

L’entreprise américaine fut critiquée par de nombreux gouvernements et commissions parlementaire européenne et américaine.

A la même période, Google fait la découverte de la faille de sécurité évoquée précédemment, mais décide de la corriger et de ne pas communiquer dessus pour éviter d’être comparé avec son concurrent Facebook.

La loi RGPD (Règlement Général sur la Protection des Données) n'étant pas encore appliquée, Google n’avait donc aucune obligation de communiquer.

En effet, en Europe le RGPD oblige les entreprises à communiquer sur la découverte de failles de sécurité concernant une fuite des données personnelles. Cette loi est entrée en vigueur en mai 2018.

Aux Etats-Unis les entreprises sont obligés de communiquer, uniquement si il a été prouvé que des données ont été dérobés.

Ces deux facteurs sont les raisons de la non communication de Google vis à vis de la faille de sécurité.

Actions de google

Après la découverte de la faille, google a procédé à une refonte de se son système d’API.

L’accès aux données des utilisateurs par des services tiers est grandement diminué.

Conclusion

La découverte de la faille de sécurité signe la fin de Google+, entre soucis de rentabilité et de sécurité, Google décide de fermer l’accès au service en Août 2019.

Sources