Google vient de révéler la deuxième faille de sécurité au sein de son réseau social Google+ en moins de trois mois. Celle-ci a exposé des données personnelles provenant de 100 fois plus d’utilisateurs que la première, et a poussé la société à accélérer l’arrêt du service.
Le bug provient de l’API (Application Programming Interface) Google+ People: get
, qui permet aux développeurs de récupérer le profil Google d’un utilisateur. Elle renvoie des informations comprenant le nom, l’URL du profil, la photo, l’anniversaire, le sexe, la situation maritale actuelle ainsi qu’une courte biographie. D’autres éléments révélés incluent des données sur l’organisation dont ils sont membres et les lieux où ils ont vécu. Il existe une liste complète dans la description de l’API.
Les développeurs ont pu accéder à ces informations même si elles étaient confidentielles, a révélé l’entreprise dans un article de blog. La faille de sécurité leur donnait également accès à d’autres données personnelles partagées avec l’utilisateur par d’autres membres de Google+.
Google avait déjà annoncé qu’il fermerait le service en août 2019 à la suite d’un “examen approfondi” de l’accès des développeurs tiers aux données de compte Google à l’origine du premier bug.
Ce bug était très similaire à cette dernière faille de sécurité. Elle provenait également d’une vulnérabilité de l’une des API de Google People et partageait également des données personnelles d’utilisateurs de Google+. Google a corrigé ce bug, qui concernait 500 000 utilisateurs, en mars dernier, mais ne l’a révélé que sept mois plus tard. Ce retard a attiré de vives critiques contre l’entreprise, qui ne manque pas de publier les failles logicielles de tiers dans le cadre des règles de divulgation strictes de son initiative Project Zero.
Google est allé plus vite cette fois. En effet, l’entreprise a présenté ce nouveau bug, qui a touché environ 52,5 millions d’utilisateurs, dans la mise à jour logicielle du mois de novembre, et l’a corrigé en une semaine, signifiant ainsi que la période de divulgation aura été au maximum de cinq semaines environ.
L’entreprise a également rapidement minimisé l’importance du bug. Elle a déclaré :
Le bug ne permettait pas aux développeurs d’avoir accès à des informations telles que des données financières, des numéros d’identification nationaux, des mots de passe ou des données similaires généralement utilisées pour frauder ou le vol d’identité.
Aucune tierce partie n’a compromis nos systèmes et nous n’avons aucune preuve que les développeurs, qui ont eu cet accès par inadvertance pendant six jours, en avaient réellement conscience ou ont eu un comportement malveillant.
Néanmoins, le bug semble avoir renforcé la détermination de Google à agir concrètement au niveau de son réseau social. L’entreprise a décidé de l’arrêter plus rapidement que prévu. Toutes les API Google+ seront stoppées dans les 90 prochains jours et le service consommateur Google+ s’arrêtera, quant à lui, au mois d’avril 2019.
Si ce service avait pu survire, Google+ l’aurait maintenu sans aucun doute. C’est une fin humiliante pour une plateforme qui n’a jamais atteint son plein potentiel, confrontée à la vive concurrence de Facebook !
Billet inspiré de Google+ to power down early after second security hole found, sur Sophos nakedsecurity.