Vie et mort de Google+, un réseau social plein de failles

Oct 19, 2018
Vote on Hacker News

vie-mort-google-reseau-social-failles

Le 8 octobre 2018, Google a annoncé la fermeture définitive de son réseau social Google+, suite à une faille de sécurité d’importance, découverte en mars et qui durait depuis trois ans. Devenu comme une ville fantôme, sa fin est emblématique d’errances et d’erreurs qui précipitent les projets de la tech dans les abysses. A méditer.

A l’origine, Google+ devait concurrencer Facebook, et devenir le réseau social de référence, permettant entre autre de cloisonner ses relations entre différents cercles (public, privé, professionnel, famille, amis…). Le concept était bon, et Google devait rêver une percée aussi impressionnante et inexorable que dans le domaine des moteur de recherche, des navigateurs Internet ou des OS mobile.

Un réseau social devenu ville fantôme, qui se fait détrousser comme une diligence !

Mais rien ne s’est déroulé comme prévu et, malgré quelques aficionados, Google+ n’a jamais réussi à s’imposer. D’échecs en déconvenues, il s’est réduit comme peau de chagrin. Et, si Google ne donne aucune statistique de nombre d’utilisateurs, ils sont estimés à quelques millions dans le monde. Une goutte d’eau, à l’échelle du net globalisé.

Il a de plus été récemment démontré qu’en plus d’être un des plus grands échecs commerciaux de Google, son réseau social recélait des failles de sécurité – au moins une, en tout cas. Elle a été découverte par Google en mars, mais le géant du net s’est bien gardé de communiquer à ce sujet. Il a fallu les révélations, début octobre, du Wall Street Journal, pour que le grand public apprenne ce qui s’était passé.

Des données personnelles de 500 000 comptes dérobées

Et encore ! Nous savons certes qu’une faille de sécurité a été exploitée et a compromis 500 000 comptes en mars, et que cette faille existait depuis 2015. Pour le reste, Google est resté dans un flou agaçant, précisant uniquement que cette faille ne touchait que les utilisateurs Google+ utilisant certains services tiers (non détaillés) se connectant à l’API de Google+.

Les informations auxquelles les pirates ont eu accès restaient relativement limitées  – le nom, l’adresse de messagerie, l’emploi, l’âge et le genre des utilisateurs. Pas de mot de passe notamment. Pour autant, ces données demeurent parfaitement monnayables, et leur fuite potentiellement problématique pour les utilisateurs – risque d’usurpation d’identité, création de faux profils et autres arnaques.

Clap de fin sur Google+

Le pire est sans doute que Google, ne conservant pas les données de connexion plus de 15 jours, est incapable d’affirmer si cette fragilité a déjà pu être exploitée depuis 2015. Pour autant, la faille a été colmatée, et les derniers Mohican utilisant encore Google+ peuvent continuer à le faire en toute sécurité.

En toute sécurité, mais plus pour longtemps : suite aux révélations du Wall Street Journal, Google a annoncé la fermeture progressive de son réseau social : pour les particuliers, la fin de l’histoire est fixée à fin août 2018. Pour les professionnels, Google+ devrait continuer, sous une autre forme restant à définir. Une solution radicale, qui permet à Google d’éviter les questions qui fâchent.

Détourner les regards médiatiques des questions qui fâchent

Car, dans le déluge médiatique qui a relayé l’information, le fracas de la fermeture a presque éclipsé la faille en elle-même. Mieux, ce tintamarre a tout bonnement envoyé aux oubliettes le plus gros problème : pourquoi Google a dissimulé cette faille durant plus de six mois ?

D’un point de vue de communication, le timing se comprend : Google a eu vent de la faille en pleine affaire Cambridge Analytica. L’annoncer à ce moment, c’était se jeter la tête la première dans le torrent médiatique qui emportait Mark Zuckerberg et son réseau social. Google a donc préféré glisser cette information sous un épais tapis.

Il y a fort à parier que, sans l’enquête du Wall Street Journal, personne n’en aurait jamais entendu parler. Ce qui est parfaitement contraire aux bonnes pratiques en la matière. Et encore plus à l’heure du RGPD.

Google sauve son image de marque – pour combien de temps ?

Pour autant, le destin semble avoir toujours le sens de l’ironie : la faille a été rendue publique moins de quinze jours après que Facebook ait révélé, de son plein gré, une faille ayant affecté 50 millions de comptes.

La comparaison n’est pas flatteuse pour Google, mais le géant du net s’en tire, une fois de plus, à un bon compte. A l’inverse de Facebook, son image n’a pas été (encore) trop abîmée par les scandales de ces derniers mois. Ce n’est peut-être qu’une question de temps. Mais ce temps, pour Google, vaut vraiment beaucoup d’argent.