La semaine dernière, Google a annoncé (
news ) la fermeture du réseau social Google+, mais cela a été fait assez inhabituel. Google n'hésite pas à clore des projets qui pour diverses raisons n'ont pas décollé. Beaucoup ne peuvent toujours pas pardonner aux entreprises d'avoir refusé de prendre en charge le service Google Reader en 2013, deux ans après le lancement de Google Plus.
Cependant, Google a le droit: si une entreprise n'a pas eu lieu, cela en vaut la peine. Une raison intéressante pour la fermeture. Dans le cas de Google Reader, il s'agissait d'un petit public. Dans le cas de Picasa, la volonté de se concentrer sur le nouveau produit Google Photos. Mais Google+ a été fermé pour des raisons de sécurité, et c'est un argument assez nouveau, qui semble être appliqué pour un grand service pour la première fois.
La fermeture de Google+ a été annoncée dans un
article de blog détaillé, généralement consacré à la confidentialité des données des utilisateurs. Soucieux de la protection de ces mêmes données, Google a lancé début 2018 le Project Strobe, une initiative qui analyse les applications tierces ayant accès aux comptes Google. Un article de blog Google partage les quatre premiers résultats de cette analyse.
Résultat numéro un: Google+ est fermé pour les utilisateurs ordinaires (mais sous une certaine forme, il existera pour les entreprises). La publication reconnaît l'évidence: en sept ans, le service n'est pas devenu populaire auprès des utilisateurs ou des développeurs. 90% des sessions utilisateur où ils interagissent avec Google+ durent moins de cinq secondes (qu'est-ce que c'est? Comment sortir d'ici?).
Mais selon Google, ce n'est pas le principal, ou du moins pas le seul motif de fermeture de la plateforme. L'audit a révélé que les applications peuvent demander et accéder au profil d'un utilisateur sur le réseau Google+. Le profil peut contenir (ou ne pas être, il est volontaire) le nom, l'adresse e-mail, la profession, le sexe et l'âge. Le problème était que grâce à l'API, les applications avaient accès non seulement aux informations des utilisateurs, mais aussi aux données de leurs amis. De plus, les amis pouvaient marquer certaines informations sur eux-mêmes comme non publiques, mais l'accès à ces informations était quand même autorisé.
Selon Google, jusqu'à 500 000 utilisateurs pourraient être potentiellement à risque - évidemment, ceux qui ont partagé leurs informations en réponse à une demande d'une application et pourraient ainsi divulguer par inadvertance des informations sur des amis. Mais tout cela est en théorie, car la société n'a trouvé aucune preuve que quelqu'un via l'API Google+ en ait
vraiment . En effet, pourquoi pirater Google+ quand il y a Facebook?
Avant de comprendre ce qui s'est passé ici, nous passons brièvement en revue les trois autres résultats de l'analyse. Conclusion numéro deux: les utilisateurs ont besoin de plus de contrôle sur les droits des applications tierces. Désormais, lorsqu'un service nécessitera l'accès à votre compte Google (pour vous connecter ou télécharger quelque chose sur Google Drive, etc.), vous pouvez autoriser l'accès à votre profil, par exemple, mais refuser l'accès au calendrier.
Troisième mise à jour: l'accès au courrier se resserre. L'accès aux messages a toujours été un sujet controversé, c'est donc une action logique de la part de Google. Quatrième nouveauté: sous Android, l'accès aux appels et SMS sera sérieusement coupé. Désormais, seules les applications d'appels et de SMS, que l'utilisateur a désignées par défaut, auront un accès complet. C'est théoriquement une bonne nouvelle pour la protection contre les chevaux de Troie qui envoient des SMS, mais voyons comment cela se passe vraiment.
Et avec Google+, une chose étrange sort. Formellement, les boursiers de Google: ils étaient tellement préoccupés par la confidentialité des utilisateurs qu'ils ont fermé tout un réseau social. Ceci, sans blagues, est un précédent, le premier cas où une entreprise mentionne au moins en termes de sécurité la sécurité comme l'une des raisons de l'arrêt des travaux sur le produit. De l'autre: l'incident lui-même est en quelque sorte petit.
Comparons. Yahoo a donc
volé un demi-milliard de comptes. Voici l'agrégateur d'historique de crédit Equifax, à travers un énorme trou dans l'infrastructure,
perdant des données très sensibles sur environ la moitié de la population américaine. Voici un cas tout à fait similaire: grâce à une API non sécurisée, le bureau absolument laissé a
téléchargé des informations à partir des profils de 50 millions d'utilisateurs de Facebook. Si vous comparez l'échelle, Yahoo, Facebook et Equifax devraient être fermés avec honte pendant longtemps.
Mais non, rien de tel ne s'est produit, bien que la réputation des trois sociétés ait certainement souffert. Yahoo a été vendu à Verizon à un prix inférieur au prix d'origine, Facebook a été traîné dans les tribunaux et les congrès, et les gardes de sécurité ont serré les noix aux développeurs tiers. Le cours de l'action d'Equifax a sérieusement chuté pendant le scandale ... Mais il est ensuite revenu à des niveaux presque normaux et les revenus de l'entreprise ont augmenté.
Ce n’est pas que j’insiste sur la fermeture: pendant quelques mois, nous nous retrouverons sans matériel, services et logiciels. La conclusion est la suivante: la sécurité, ou plutôt l'insécurité des produits, n'affecte pas tant les préférences des entreprises ou des consommateurs. L'auteur de ces lignes affirme à Google+ qu'il ne concerne pas la confidentialité de l'API. Google a tenté d'intégrer son réseau social en général dans tous les produits. Pour cette raison, j'ai découvert un jour que mon smartphone avait téléchargé toutes les photos dans un album photo Google+ privé, même si je ne semblais pas lui en parler (apparemment, j'ai oublié de décocher une coche quelque part). Les changements de politique de sécurité annoncés la semaine dernière résolvent en partie le même problème. Ils donnent à l'utilisateur la possibilité de décider, plus consciemment, des données auxquelles ouvrir l'accès et lesquelles conserver pour lui.
Ce n'est pas seulement la faille stratégique de Google +. Une tentative d'intégrer tout et tout le monde, en règle générale, conduit à des vulnérabilités à la jonction de différentes technologies. Mais dans un article Google, ce sujet ne revient pas. C'est compréhensible, l'entreprise ici est dans la position des abeilles qui tentent de limiter la collecte, le stockage et la transformation du miel. Idéalement, en tant qu'utilisateur, j'aimerais avoir encore plus de contrôle sur mes données, non seulement par rapport aux développeurs tiers, mais également par rapport aux services internes de Google. Ou Facebook ou toute autre entreprise.
Néanmoins, la mention de la sécurité de l'information même dans un tel contexte lors de l'annonce d'une décision commerciale sérieuse est une bonne nouvelle. Cela signifie que Google, Facebook et d'autres sociétés commencent à prendre plus au sérieux les problèmes de confidentialité. Comme dans le cas du
récent bug sur Facebook, les deux sociétés parlent suffisamment et ouvertement du problème et des méthodes pour le résoudre. Y aura-t-il encore moins de politique et plus de faits dans de tels messages à l'avenir? Eh bien, nous continuerons à observer.
Avis de non-responsabilité: les opinions exprimées dans ce recueil ne coïncident pas toujours avec la position officielle de Kaspersky Lab. Chers rédacteurs recommandent généralement de traiter toute opinion avec un scepticisme sain.