En tant qu’administrateur et détenteur de licences G Suite, vous avez probablement reçu de Google un message vous informant qu’une faille de sécurité a été détectée par leurs systèmes de surveillance le 13 novembre 2018 au niveau de l’API de Google+.
Cette faille a été corrigée le même jour.
Cette faille a été corrigée le même jour.
C’est quoi le problème ?
Les données du profil Google+ de l’utilisateur (adresses mail, nom de l’entreprise, fonction, département, n° de téléphone, …) dont le paramètre était fixé sur « ne pas rendre public » étaient potentiellement accessibles par les applications tierces que l’utilisateur aurait installées pour peu que ces applications requéraient l’accès au profil.
Exemple
Vous utilisez Trello, application de gestion de tâches et de projet, en lien avec votre G Suite.
Lors du lancement de Trello, il vous a été demandé d’accorder des droits d’accès à certaines informations liées à vos applications G Suite.
Lors du lancement de Trello, il vous a été demandé d’accorder des droits d’accès à certaines informations liées à vos applications G Suite.
Les données « publiques » de votre profil Google+ sont donc accessibles pour Trello.
La faille de Google implique que même les données privées de votre profil Google+ sont accessibles pour Trello.
La faille de Google implique que même les données privées de votre profil Google+ sont accessibles pour Trello.
Les bonnes nouvelles
- Cette faille n’était a priori pas connue.
- Aucune donnée sensible (mot de passe, n° de compte bancaire, …) n’est stockée dans un profil Google+.
- Rien ne permet de penser que des données de profil ont été volées / utilisées / compromises.
- La faille a été corrigée.
Qu’est-ce que Google vous conseille de faire ?
- Rien.
Comme la faille ne semble pas avoir été exploitée et que, quand bien même, elle ne donnait pas accès à des données sensibles, il n’y a rien aucune mesure à prendre.
En résumé
- Il y a eu une faille de sécurité sur l’application Google+.
- Google s’en est rendu compte.
- Google a corrigé le problème.
- Personne ne connaissait cette faille et n’a pu en profiter.
- Les utilisateurs de Google+ n’ont rien à faire.