Dans une tournure d’événements qui a été prédite de manière impressionnante par le fondateur de WordStream, Larry Kim, bien avant en 2015, Google met sa plateforme de médias sociaux depuis longtemps assiégée, Google Plus, au rancart. Si, selon l’annonce officielle, Google a consacré beaucoup de temps et de ressources au fil des ans pour faire de Google Plus une plateforme précieuse pour les consommateurs, une violation de données survenue en mars dernier semble être la goutte d’eau qui a fait déborder le vase. Google Plus était comme le vilain petit enfant qui a cassé le vase familial. Il n’était pas si populaire de toute façon, et cette dernière indiscrétion a donné à Google une incitation écrasante à le renier.
Parlons un peu plus de la violation de données qui s’est produite, et de certaines ramifications primordiales de l’annonce.
Qu’était Google Plus ?
Quatrième tentative de Google pour créer un réseau social, Google Plus a succédé à Google Buzz, Google Friend Connect et Orkut. La croissance de la base d’utilisateurs de la plateforme semblait prometteuse – elle comptait 395 millions de comptes actifs en 2016. Mais également en 2016, 91 % de ces comptes étaient vides. Aujourd’hui, 90 % des sessions des utilisateurs de Google Plus durent moins de cinq secondes. Pourquoi cet énorme écart entre le nombre de comptes et la quantité d’utilisation ? Pendant des années, Google Plus s’est intégré à des applications comme Photos, Hangouts et YouTube. Vous deviez avoir un compte Google Plus pour utiliser et interagir avec ces apps.
Cela signifie que la majorité des utilisateurs de Google Plus ne l’étaient que pour utiliser ces autres apps. Contrairement à Facebook, qui voyait légitimement Google Plus comme une menace à ses débuts, les gens ne créaient pas de comptes Google Plus pour réellement utiliser la plateforme. À titre de comparaison, avoir un compte Facebook permet de se connecter plus facilement à Spotify, et en fait, à pas mal d’autres services, mais ce n’est pas pour cela que la plupart des gens ont un compte Facebook.
L’éclatement au fil du temps des produits et services de l’ombrelle Google Plus – Gmail, Photos, Streams, YouTube – a fini par faire de la plateforme une ville fantôme. Mais parce que personne ne veut désavouer publiquement un enfant, aussi problématique et improductif qu’il ait été, Google s’est accroché à Google Plus plus longtemps que ce qui était probablement nécessaire.
Ensuite, la violation de données s’est produite.
Pourquoi Google Plus disparaît-il ?
Cette violation de données n’était rien à l’échelle de Cambridge Analytica – qui a accédé aux informations privées de plus de 50 millions d’utilisateurs de Facebook – mais ce n’était pas rien non plus. Google a lancé le projet Strobe, un effort de régulation des données mené par Skrillex et LCD Soundsystem (pas vraiment) au début de l’année. Selon l’annonce, le projet Strobe a été lancé indépendamment, avant la violation des données, et donc la violation des données était quelque chose qu’il recherchait activement, et non quelque chose sur lequel il est tombé accidentellement.
Le but du projet Strobe était d’examiner l’accès des développeurs tiers à travers le vaste réseau d’apps et de services de Google – l’idée étant que plus cet écosystème devient complexe, plus il est difficile pour Google de réglementer la confidentialité et la sécurité des données. En ce qui concerne Google Plus, voici ce qu’elle a trouvé (en citant directement l’article de blog):
- Les utilisateurs peuvent accorder l’accès à leurs données de profil, et aux informations publiques du profil de leurs amis, aux apps Google+, via l’API.
- Le bug signifiait que les apps avaient également accès aux champs du profil qui étaient partagés avec l’utilisateur, mais non marqués comme publics.
- Ces données sont limitées aux champs statiques et facultatifs du profil Google+, notamment le nom, l’adresse électronique, la profession, le sexe et l’âge. Elles n’incluent pas les autres données que vous avez pu publier ou connecter à Google+ ou à tout autre service, comme les publications Google+, les messages, les données de compte Google, les numéros de téléphone ou le contenu de G Suite.
- Nous avons découvert et immédiatement corrigé ce bug en mars 2018. Nous pensons qu’il s’est produit après le lancement en raison de l’interaction de l’API avec une modification ultérieure du code de Google+.
- Nous avons créé Google+ en gardant à l’esprit le respect de la vie privée et conservons donc les données de journal de cette API pendant seulement deux semaines. Cela signifie que nous ne pouvons pas confirmer quels utilisateurs ont été impactés par ce bug. Cependant, nous avons effectué une analyse détaillée au cours des deux semaines précédant l’application du correctif et, d’après cette analyse, les profils de jusqu’à 500 000 comptes Google+ étaient potentiellement affectés. Notre analyse a montré que jusqu’à 438 applications ont pu utiliser cette API.
- Nous n’avons trouvé aucune preuve qu’un développeur était au courant de ce bug, ou abusait de l’API, et nous n’avons trouvé aucune preuve qu’une quelconque donnée de Profil ait été utilisée de manière abusive.
TL;DR : Google a découvert un bug dans son système qui permettait à des applications tierces d’accéder à certaines des informations privées de jusqu’à 500 000 personnes. Il a immédiatement corrigé le problème. Bien qu’il sache combien de personnes auraient pu voir leurs informations utilisées pour des raisons néfastes, il ne sait pas combien l’ont réellement fait ; et de plus, il a trouvé peu de raisons de croire que l’une d’entre elles l’a fait.
« Violation de données » est un mot déclencheur important dans les médias en ce moment, mais il semble que, tout bien considéré, celui-ci était plutôt inoffensif. Il n’empêche : Google Plus n’est plus.
Que d’autre le projet Strobe a-t-il découvert ?
C’est vraiment de mieux en mieux à chaque fois que vous le dites : Le projet Strobe a produit quatre conclusions en tout et pour tout, dont une seule était « larguer Google Plus ». Les trois autres, dans l’ordre :
Les gens veulent des contrôles fins sur les données qu’ils partagent avec les apps.
La solution de Google ici est de, effectivement, donner aux utilisateurs un contrôle plus granulaire sur les informations qu’ils choisissent de partager avec des apps tierces. Dans le passé, si une application voulait accéder, par exemple, à votre Agenda et à votre Drive, Google vous demandait seulement si vous consentiez à partager les deux ensembles de données. Désormais, il vous demandera si vous consentez à partager chaque ensemble, un par un :
Lorsque les utilisateurs accordent à des apps l’accès à leur Gmail, ils le font avec certains cas d’utilisation à l’esprit.
Google met à jour sa politique de données utilisateur pour l’API Gmail grand public. Désormais, lorsque vous accordez à un tiers l’accès à votre compte Gmail, seules les apps qui augmentent directement la fonctionnalité de messagerie seront autorisées à accéder à vos données. Elles devront également accepter les nouvelles normes de sécurité de Google, et se soumettre à des examens de sécurité réguliers.
Lorsque les utilisateurs accordent des autorisations SMS, Contacts et Téléphone aux applis Android, ils le font en ayant à l’esprit certains cas d’utilisation.
Même chose que les changements ci-dessus, mais pour Android, seules les applis que vous avez personnellement sélectionnées comme applis par défaut pour passer des appels et envoyer des SMS pourront accéder à vos données (si vous consentez à les partager).
Dans l’ensemble, donc, Google améliore la sécurité et accélère la transparence (deux thèmes majeurs cette année) en sévissant contre l’accès aux données par des tiers.
Pensées finales sur le projet Strobe
Google maintient toujours que Google Plus a été une plateforme utile pour les entreprises – que les entreprises qui ont connu le plus de succès avec elle l’utilisent essentiellement comme un réseau isolé et sécurisé où les collègues peuvent s’engager dans des discussions et d’autres interactions réglementées par l’entreprise. Si vous êtes l’une de ces entreprises, ne désespérez pas – Google met en place une période de « liquidation » de 10 mois qui permettra aux utilisateurs de migrer en toute sécurité les données hors du réseau, et publiera également des informations dans les prochains jours sur les fonctionnalités bientôt disponibles qui atténueront cette disparition tant attendue et tant espérée.