Google+ a été lancé en 2011 pour concurrencer directement Facebook. Google revendiquait officiellement (sources internes de l’entreprise) 110 millions d’utilisateurs de son réseau social. Mais il est possible que plusieurs centaines de millions supplémentaires soient « adhérents involontaires », enregistrés automatiquement lors de l’ouverture de certains comptes Gmail. Ces comptes aussi auraient pu eux aussi être victimes d’une importante faille de sécurité.
Une faille qui dure depuis trois ans
C’est le Wall Street Journal qui a levé le pot aux roses, révélant début octobre 2018 qu’une faille de sécurité a permis d’accéder aux données personnelles des utilisateurs de Google+. Cette faille a duré de 2015 à 2018. Google dans un billet de blog long et technique, a donné des explications alambiquées où le lecteur a l’impression que la société essaie de noyer le poisson.
Google estime curieusement que seulement 500 000 utilisateurs auraient pu se voir soustraire leurs données (coordonnées, date de naissance, photos, etc…) ce qui paraît peu sur une durée de trois ans et nombre de données ont pu être « aspirées » sans que l’opérateur ne s’en aperçoive. Ce qui implique que certains clients Google+ ne sauront jamais si leurs données ont été piratées.
Transparence et semi transparence
Cette faille aurait été découverte fortuitement par Google en mars 2018. À partir des échanges internes de courriel, le Wall Street Journal a découvert que l’opérateur a hésité avant de rendre la faille publique. Dans un premier temps Google avait décidé de corriger la faille sans en ébruiter l’existence. Mais l’article du journal financier l’a forcé à réagir. Rappelons que depuis la loi RGPD, un opérateur en Europe doit en théorie rendre publique toute faille (et prévenir les utilisateurs potentiels lésés), ce qui n’est pas le cas aux États-Unis où cette obligation n’existe que si les utilisateurs ont effectivement subi un dommage démontré.
Google+ va fermer en août 2019
L’opérateur avance des « raisons financières » pour cette fermeture, il serait trop coûteux de maintenir le service pour les particuliers (les professionnels pourront toujours utiliser Google+ via G Suite). Les derniers utilisateurs seront « accompagnés » sans que l’on puisse dire ce que cet accompagnement recouvre exactement.
Don’t be evil (ne soyez pas malveillants) est une des règles internes affichées de Google Alphabet. Une règle étrange quand on sait que le géant de Moutain View poursuit activement une politique de censure au nom du politiquement correct. Le diable digital est parfois dans les détails et sans les révélations de début octobre, les utilisateurs n’auraient sans doute jamais su si leurs comptes avaient pu être piratés. Ceux qui en ont été victimes ne le savent d’ailleurs toujours pas précisément. Pour les amateurs de sécurité ou de confidentialité ils peuvent utiliser Qwant à la place du moteur de recherche dominant et également migrer sur Telegram ou Protonmail plutôt que de se voir imposer Hangouts ou Gmail.
