Pendant des mois, Google a tenté de désavouer l'indignation croissante de la communauté technique, mais le 8 octobre, ce barrage s'est finalement effondré, enseveli sous la
nouvelle d'une erreur sur le réseau Google+ rarement utilisé, à la suite de laquelle un demi-million d'informations personnelles des utilisateurs pourraient devenir publiques. Google a découvert et corrigé la vulnérabilité en mars, à peu près au même moment que l'
histoire désagréable avec Cambridge Analytica prenait de l'ampleur. Cependant, avec l'avènement des nouvelles, les pertes augmentent. La version utilisateur de Google+
ferme ses portes , les législateurs de la protection des renseignements personnels en
Allemagne et aux
États-Unis cherchent déjà des moyens d'intenter des poursuites, et d'anciens responsables de la Securities and Exchange Commission des États-Unis
spéculent ouvertement sur ce que Google a fait de mal.
La vulnérabilité elle-même semble relativement faible. L'essence du problème était une API spécifique pour les développeurs, avec laquelle il était possible d'accéder à des informations non publiques. Ce qui est important, il n'y a aucune preuve que quelqu'un l'ait utilisé pour accéder à des données personnelles, et, compte tenu de la base d'utilisateurs morts, on ne sait pas du tout combien de ces données personnelles pourraient être vues. Théoriquement, n'importe qui pouvait avoir accès à l'API, mais seulement 432 personnes l'ont demandé (je le répète, c'est Google+), nous pouvons donc supposer qu'aucun d'entre eux n'y a même pensé.
Un problème beaucoup plus important pour Google n'était pas un crime, mais une tentative de le cacher. La vulnérabilité a été corrigée en mars, mais la société n'a pas divulgué ces informations pendant sept mois supplémentaires, jusqu'à ce que le Wall Street Journal
entre dans les mains d'une
discussion sur cette erreur. La société a apparemment compris qu'elle gâchait - pourquoi sinon effacer le réseau social de la surface de la terre? - mais sur ce qui s'est exactement passé, et quand, tout est très confus, et cette situation révèle des problèmes plus profonds liés à la façon dont technomir traite ces jambages liés à la confidentialité.
Une partie de la frustration vient du fait que, d'un point de vue juridique, Google est propre. Il existe de nombreuses lois sur la nécessité de signaler les vulnérabilités - principalement le
RGPD , mais il existe également différentes lois au niveau des pays - cependant, selon leurs normes, ce qui est arrivé à Google+ ne peut pas être, à proprement parler, appelé une vulnérabilité. Les lois parlent d'un accès non autorisé aux informations des utilisateurs, décrivant une idée simple: si quelqu'un vole votre carte de crédit ou votre téléphone, vous avez le droit de le savoir. Mais Google a seulement constaté que ces données pouvaient être disponibles pour les développeurs, et non pas que les données avaient vraiment fui quelque part. Et sans signes évidents de vol, la société n'est pas tenue par la loi de le signaler. Du point de vue des avocats, ce n'était pas une vulnérabilité, et cela suffisait juste pour résoudre tranquillement ce problème.
Il existe des arguments s'opposant à la divulgation de telles erreurs, bien qu'à en juger par l'esprit, ils ne sont pas aussi convaincants. Tous les systèmes ont des vulnérabilités, donc la seule bonne stratégie du point de vue de la sécurité est de les rechercher et de les corriger en permanence. En conséquence, le logiciel le plus sûr sera celui dans lequel le plus grand nombre d'erreurs a été découvert et corrigé, même s'il semble contre-intuitif pour un observateur extérieur. Il serait erroné de forcer les entreprises à signaler chaque erreur - il s'avère que les produits qui se soucient le plus des utilisateurs seront les plus punis.
Bien sûr, pendant de nombreuses années, Google lui-même s'est engagé dans la divulgation soudaine des erreurs d'autres sociétés dans le cadre du projet Project Zero - en particulier, les critiques sont donc si désireux d'attaquer l'hypocrisie évidente de la société. Cependant, l'équipe de Project Zero vous dira que signaler des tiers est d'un calibre complètement différent, et une telle divulgation devrait généralement encourager les corrections de bogues et bâtir une réputation pour les nobles pirates à la recherche de bogues.
Cette logique est plus adaptée aux erreurs de logiciels qu'aux réseaux sociaux et aux problèmes de données personnelles, mais dans le monde de la cybersécurité, elle est assez courante, et il ne serait pas exagéré de dire qu'elle a influencé le courant de pensée de Google lorsqu'ils ont décidé de remplacer cette histoire sous le tapis.
Mais après la chute désagréable de Facebook, il semble que les arguments du monde de la jurisprudence et de la cybersécurité soient pratiquement hors de propos. L'accord entre les entreprises technologiques et leurs utilisateurs est plus fragile que jamais, et de telles histoires lui font encore plus de mal. Le problème n'est pas une fuite d'informations, mais une fuite de confiance. Quelque chose a mal tourné, mais personne chez Google ne l'a dit. Et à part les reportages du WSJ, peut-être, rien n'aurait été connu à ce sujet. Il est difficile d'éviter une question rhétorique désagréable: que nous disent-ils d'autre?
Il est trop tôt pour juger si Google sera confronté à une réponse négative à cet incident. Un petit nombre de victimes et la relative peu d'importance de Google+ nous permettent de dire que c'est peu probable. Mais même si cette vulnérabilité n'était pas critique, de tels problèmes constituent une réelle menace pour les utilisateurs et les entreprises en qui ils ont confiance. La confusion sur la façon de l'appeler - une erreur, une fuite, une vulnérabilité - se superpose au fait qu'il est encore moins clair de savoir exactement ce que les entreprises doivent faire pour leurs utilisateurs, lorsque la vulnérabilité de la vie privée est importante et le contrôle que nous avons sur nos données. Ces questions sont cruciales dans notre ère technologique, et si les derniers jours nous ont appris quelque chose, c'est que l'industrie essaie toujours de trouver des réponses à ces questions.