Malgré sa lente agonie (relire Google+ : un certain tabou de l’échec écrit ici-même en juillet 2015), Google+ a jusqu’alors perduré. Déserté par “à peu près tout le monde”, il est resté pour une poignée d’utilisateurs (à l’échelle de Google, cela représente tout de même quelques millions) une destination privilégiée pour nourrir des discussions de tout ordre en profitant du système de “cercles”, introduit par la firme de Mountain View, dès son lancement en 2011. Google aura pourtant tout essayé, y compris forcer les utilisateurs de YouTube à s’y créer un compte pour commenter des vidéos. En vain…

Il faut croire que cette situation aurait pu perdurer encore des années, tant il semblait tabou de débrancher le service. Ce lundi, nous apprenons au détour d’un article du Wall Street Journal que le réseau social de Google comporte depuis plus de 3 ans au moins une faille de sécurité mettant en danger les données personnelles de ses utilisateurs. Celle-ci a été découverte en mars dernier au cours d’un audit interne. Elle serait aujourd’hui responsable de la fermeture annoncée du réseau, à moins qu’il s’agisse d’un prétexte pour (enfin) arrêter les frais.

Concrètement, par le biais de l’API de Google+, il était alors possible à des services tiers de s’interfacer avec le réseau, notamment pour se connecter. Ceci a été confirmé dans un communiqué par Ben Smith, VP Engineering. Une fois découverte en mars 2018, cette faille a été corrigée dans la foulée, sans que les utilisateurs – ni les autorités d’ailleurs – ne soient prévenus. Selon Google, aucune preuve n’a mise en évidence l’exploitation de la faille par des développeurs mal-intentionnés et une éventuelle fuite de données.

Aux Etats-Unis, aucune loi ne contraint les entreprises dans cette situation à communiquer sur l’existence d’une faille si celle ci n’a pas occasionné de fuite de données. “Pas vu, pas pris”.
En Europe, ceci est obligatoire depuis l’entrée en vigueur de la RGPD. Ne pas s’y conformer revient à risquer une très lourde amende financière…

Ainsi, pendant trois ans, des applications tierces – pas moins de 438 selon Google – ont donc pu avoir accès à des informations personnelles de centaines de milliers d’utilisateurs. Leurs nom et prénom, adresse email, âge, emploi, et genre en font partie. Leurs numéros de téléphone et le contenu des messages  postés en privé sur le réseau en serait exclus.

Ainsi, le communiqué explique non seulement la nature des données libérées sans contrôle, mais surtout, annonce l’arrêt pur et simple de Google+, sous 10 mois. Durant cette période, les utilisateurs auront la possibilité d’exporter leur données, après quoi, le service fermera pour le grand public.

Au delà de la fermeture de son réseau social, Google annonce le durcissement de ses conditions d’accès aux API, à la manière des changements que Facebook a du opérer à la suite du scandale Cambridge Analytica.

Ainsi s’achève l’aventure sociale de Google. Une aventure qui n’aura jamais été couronnée de succès. Google+ a rapidement été un échec. Comme l’ont été Google Wave, Google Buzz, ou encore Google Lively. Qui s’en souvient ?

RIP.

Suivez moi sur Twitter :