Scandale Gmail : oui, des développeurs ont pu lire vos mails !

Jul 9, 2018
Vote on Hacker News

scandale-gmail-developpeurs-lire-mails

Une enquête du Wall Street Journal vient de révéler que des développeurs tiers ont pu accéder aux contenus des mails d’utilisateurs de Gmail. Le pire ? Cette opération est non seulement légale, mais les utilisateurs y ont consenti…

Les scandales concernant l’exploitation des données personnelles par les géants du net ne cessent de se multiplier. Si la tempête qui agite Gmail n’a aucune commune mesure avec l’ouragan Cambridge Analytica, les faits révélés par une enquête du Wall Street Journal demeurent préoccupants.

Des développeurs tiers peuvent accéder à votre messageries et lire tout ce qu’elle contient

Certes, et c’est la ligne de défense de Google, les utilisateurs ont donné leur accord : quand une fenêtre vous demande si vous autorisez une application à accéder à vos données, et que, parmi les actions précisées, il est explicitement écrit « Lire, envoyer, supprimer et gérer vos e-mails », cliquer sur « J’accepte » vous expose, fatalement, à ce que vos mails ne soient plus si confidentiels.

Dans les faits, il s’agit d’applications validées par Google, en train de tester leurs fonctionnalités ou apprendre à leur IA comment réagir face aux mails de Gmail. Et si, le plus souvent, les mails seront scannées par une IA, il peut arriver que des développeurs humains soient obligés d’accompagner un apprentissage et, pour ce faire, lire directement vos mails.

Pas de vilains petits canards parmi les partenaires de Google… quand il y en a, on les exclue !

Suite à la publication de l’enquête, Google s’est voulu rassurant, affirmant que ce genre d’autorisation n’est donné qu’à des applications triées sur le volet, et que les développeurs ayant accès aux messageries Gmail respectent scrupuleusement les règles de confidentialité de Google.

Le communiqué du groupe précise même qu’il a déjà suspendu des applications qui ne respectaient pas (ou plus) ces règles : un des ces messages prétendument rassurant qui révèle, en réalité, que des sociétés ont, par le passé, utilisé les mails des utilisateurs Gmail sans respecter ces règles… Jusqu’à quel point ? Quand on sait qu’une messagerie mail contient souvent des informations extrêmement sensibles sur son utilisateur, on est en droit d’être modérément rassuré par cette nouvelle.

Google est-il à l’abris d’une duperie comme Cambridge Analytica ?

La problématique que pose ce scandale est double : le premier est qu’une messagerie qui laisse des développeurs tiers accéder aux messages de ses membres s’expose, fatalement, à une utilisation dévoyée, similaire à ce qui s’est passé pour Cambridge Analytica.

Si, demain, une entreprise semblant digne de confiance propose une forte somme à Google pour tester son application et qu’il s’agit, en fait, de voler des données, comment être certain que le géant du net ne dira pas oui ?

Piller les données d’un utilisateur parce qu’il a cliqué sur « J’accepte » sans réfléchir…

Le second niveau est celui du consentement. Le communiqué de Google insiste lourdement sur ce point : les utilisateurs dont les mails ont été lu ont donné explicitement leur accord. “Vous pouvez vérifier les autorisations que vous avez accordées à des applications autres que Google et les révoquer si vous le souhaitez. Pour les utilisateurs de G Suite, les administrateurs peuvent contrôler quelles applications non-Google peuvent accéder aux données de leurs utilisateurs en les mettant en liste blanche” précise Suzanne Frey, responsable de la sécurité chez Google.

Et quand elle affirme : “Nous travaillons continuellement pour valider les développeurs et leurs applications qui s’intègrent à Gmail (…), et nous donnons aux administrateurs et aux consommateurs la transparence et le contrôle sur la façon dont leurs données sont utilisées”, il sous-entend clairement qu’un utilisateur ne peut s’en prendre qu’à lui-même si ses mails ont été lu sans qu’il le veuille.

…est légal, mais est-ce moral ?

Mais cette affaire met le doigt sur un problème profond de l’ère numérique : beaucoup d’utilisateurs cliquent sur le bouton « J’accepte » sans lire le message apparaissant, pressés d’aller au contenu qui les intéresse. Et Google, comme Facebook, le savent très bien. Et si le RGPD est un excellent outil pour redonner le contrôle de leurs données aux internautes, il faut avant tout qu’ils s’astreignent à ne pas accepter tout et n’importe quoi. Ce qui, malheureusement, n’arrivera probablement pas demain…