Voilà qui ne va pas arranger les rapports tendus de Google avec les CNIL du monde entier. Le gendarme allemand de la vie privée s’était offusqué le mois dernier d’apprendre que Google collectait les adresses MAC et les noms des réseaux Wi-Fi (SSID) qu’il croisait dans les rues, lorsqu’il prenait les photographies nécessaires à son service Google Street View. En réaction, l’autorité de protection des données a donc demandé au début du mois à Google de déclarer tout ce qu’elle collectait, et de réaliser un audit interne. Qui s’est avéré désastreux.

Au terme de cet audit, le vice-président à l’ingénierie et à la recherche de Google Alan Eustace a reconnu sur son blog officiel que les premières informations données par la firme de Mountain View étaient fausses. Les voitures de Google ne se contentaient pas de collecter les adresses MAC et SSID des réseaux Wi-Fi, mais enregistraient également des paquets de données envoyés sur les réseaux non protégés.

« L’équipe d’ingénieurs de Google travaille dur pour gagner votre confiance, et nous sommes parfaitement conscients que nous avons gravement échoué ici. Nous sommes profondément désolés de cette erreur et nous sommes déterminés à en tirer toutes les leçons possibles« , écrit Eustace.

« Nous n’avons jamais utilisé ces données dans le moindre produit de Google« , rassure-t-il cependant.

Selon Google, il s’agit d’une « erreur » issue d’un « bout de code » écrit en 2006 par un ingénieur de Google. Le code en question visait à examiner toutes les catégories de données qui circulaient sur les réseaux publiques, et il a été repris tel quel par les équipes de Google Street View. « Bien que les responsables ne voulaient pas, et n’avaient aucune intention, d’utiliser des données collectées« , insiste la firme.

Alan Eustace explique que les voitures en mouvement n’ont pu collecter que des fragments de données. Il fallait d’abord que des données aient été effectivement envoyées sur un réseau ouvert au moment où la voiture passait à proximité, et il ajoute que le système Wi-Fi des voitures change de canal environ cinq fois par seconde, ce qui l’oblige à couper très vite la connexion à un réseau.

Mais pour Eustace, il s’agit là d’une démonstration grandeur nature du risque d’utiliser des réseaux Wi-Fi non protégés. Sans l’écrire explicitement, il semble dire aux internautes que c’est aussi par leur faute et leur négligence si des données personnelles ont pu être collectées sur des réseaux ouverts. Or ça tombe bien, la justice allemande vient de les déclarer illicites.

En réaction, la firme de Mountain View a tout de même bloqué immédiatement toutes ses voitures, et isolé toutes les données pour les rendre inaccessibles. Elles seront supprimées « dès que possible », et Google a contacté les régulateurs de la vie privée dans une trentaine de pays pour savoir comment s’en débarrasser au mieux. Ce qui semble indiquer qu’il ne se contentera pas d’effacer les données de ses serveurs, mais qu’il a bien l’intention de détruire physiquement les disques durs qui les contenaient.

A l’avenir, les voitures de Google Street View ne collecteront plus aucune donnée sur les réseaux Wi-Fi. Pas même les adresses MAC et SSID.

Partager sur les réseaux sociaux

Articles liés