Un ingénieur de Google viré pour violation de la vie privée

Guillaume Champeau - publié le Mercredi 15 Septembre 2010 à 14h44 - posté dans Société 2.0

Google a confirmé le licenciement d'un employé américain qui avait abusé de ses droits d'accès aux bases de données pour harceler des adolescents, grâce aux informations personnelles qu'il y trouvait. Une affaire qui montre le risque de stocker ses données personnelles sur des services en ligne, et qui obligera Google à redoubler de vigilance.

Jusqu'où peut-on faire confiance à Google et à ses employés lorsque l'on stocke sur ses serveurs l'ensemble de ses e-mails, carnets d'adresse, et autres historiques de recherches ? Google a confirmé mardi qu'il avait licencié en juillet l'un de ses ingénieurs, âgé de 27 ans, qui avait abusé de sa position dans la société pour accéder aux données personnelles d'au moins quatre mineurs, stockées sur les serveurs de la firme. "Nous avons renvoyé David Barksdale parce qu'il avait violé la stricte politique interne de respect de la vie privée", a reconnu le vice-président de l'ingénierie de Google, Bill Coughran.

Le site Gawker, qui a révélé l'information, explique que Barksdale a profité pendant plusieurs mois de ses droits pour accéder aux données d'adolescents qu'il avait rencontrés dans les environs de Seattle, alors qu'il travaillait au sein du groupe Site Reliability Engineer (SRE) de Google. Basé à Kirkland, dans l'état de Washington, le groupe chargé d'assurer la fiabilité de tous les services de la firme bénéficie d'un accès très large aux bases de données, où les informations personnelles ne semblent pas systématiquement chiffrées.

Il avait notamment pu découvrir grâce aux registres Google Voice le nom de la petite amie qu'un des adolescents de 15 ans, devenu ami, refusait de lui dévoiler. En examinant le relevé d'appels, il avait trouvé le numéro de téléphone et le nom de la jeune fille, qu'il aurait menacé d'appeler. Il aurait aussi accédé à la liste de contacts et aux retranscriptions de conversations sur Google Talk d'un autre mineur, ou s'était lui-même débloqué d'une liste d'amis d'un troisième qui l'avait banni de son compte Gtalk.

Plus inquiétant peut-être, mis au défi par un ami de démontrer ses pouvoirs d'employé de Google, Barksdale aurait selon Gawker réussi à trouver en quelques secondes "une liste d'adresses Gmail que l'ami avait créées mais qu'il ne pensait pas être liées à son compte principal".

Les services de sécurité de Google ont finalement été prévenus en juillet, après la plainte par mail d'une victime. Ils ont enquêté discrètement, et l'ont licencié après avoir constaté les faits.

"Nous accroissons de façon significative le temps que nous passons à surveiller nos relevés pour nous assurer que les contrôles soient efficaces. Cela dit, il faudra toujours qu'un certain nombre de gens accèdent aux systèmes s'ils doivent bien fonctionner. C'est la raison pour laquelle nous prenons tellement au sérieux chaque manquement", explique Google.

La firme se retrouve avec le même type de contraintes que les établissements bancaires, qui doivent constamment surveiller ce que les employés de banque font de leurs privilèges, qui leur permettent parfois de regarder les relevés bancaires de n'importe quel client du réseau. Mais les informations que détient Google, qui peuvent être très intimes, sont peut-être encore plus sensibles que des relevés de banque.

(illustration : CC Danny Sullivan)
Publié par Guillaume Champeau, le 15 Septembre 2010 à 14h44
 
 
40
Commentaires à propos de «Un ingénieur de Google viré pour violation de la vie privée»
 

1
2
Ben... chiffrez vos conversations... pfff
Attendez...

"Les services de sécurité de Google ont finalement été prévenus en juillet, après la plainte par mail d'une victime. Ils ont enquêté discrètement, et l'ont licencié après avoir constaté les faits."

=> ça veut dire que Google n'ai RIEN vu !!

Et si ce monsieur avait été discret, il aurait donc continuer ses jeux malsains ??
ça fait peur
Concernant les employés de banque, j'ai moi même été confronté au problème en tant que prestataire informatique.

Je travaillais dans un projet pour une banque, et ceux-ci avaient trouvés opportun de nous fournir une base de données réelle et complète pour nos tests (c'était une sauvegarde qui datait d'un ou deux mois), sans rien anonymiser ; j'ai trouvé ça extrêmement dangereux à l'époque, parce que j'avais réellement accès à toutes les coordonnées bancaires de tous leurs clients, leurs coordonnées, etc.

Au moins Google essaie d'avoir une politique interne stricte et de ne pas donner à n'importe quel employé tous les privilèges.
darthbob, le 15/09/2010 - 14:59
Attendez...

"Les services de sécurité de Google ont finalement été prévenus en juillet, après la plainte par mail d'une victime. Ils ont enquêté discrètement, et l'ont licencié après avoir constaté les faits."

=> ça veut dire que Google n'ai RIEN vu !!

Et si ce monsieur avait été discret, il aurait donc continuer ses jeux malsains ??
ça fait peur

T'as jamais bossé en entreprise ou quoi? Tu crois que c'est comme NCIS? T'imagines que Jak Bower reçoit un MMS automatiquement quand y a un abus?!
Ils ont en rien à foutre!
ben faut dire que c'est la petite histoire d'UN type avec quelques mails et abus. A l'echelle de l'immense boite qu'est google ça doit etre quand meme sacrément dur à détecter..

Et puis ils mettraient des algorithmes de détection automatique les mêmes personnes crieraient au scandale ici..
lildadou, le 15/09/2010 - 15:19
T'as jamais bossé en entreprise ou quoi? Tu crois que c'est comme NCIS? T'imagines que Jak Bower reçoit un MMS automatiquement quand y a un abus?!
Ils ont en rien à foutre!
C'est pas qu'ils en ont rien à foutre, c'est que s'ils essayaient de mettre un algo de détection automatique des abus, ça serait remplis de faux positifs et de faux négatifs...

Et il suffit que ce soit un peu mal réglé, et le chef de la sécu reçoit 8000 SMS par secondes pour l'informer qu'il y a peut être un abus quelque part, ou ne recevrait jamais rien.
lildadou, le 15/09/2010 - 15:19
darthbob, le 15/09/2010 - 14:59
Attendez...

"Les services de sécurité de Google ont finalement été prévenus en juillet, après la plainte par mail d'une victime. Ils ont enquêté discrètement, et l'ont licencié après avoir constaté les faits."

=> ça veut dire que Google n'ai RIEN vu !!

Et si ce monsieur avait été discret, il aurait donc continuer ses jeux malsains ??
ça fait peur

T'as jamais bossé en entreprise ou quoi? Tu crois que c'est comme NCIS? T'imagines que Jak Bower reçoit un MMS automatiquement quand y a un abus?!
Ils ont en rien à foutre!

C'est pas qu'"ils n'en ont rien à foutre", c'est que c'est juste bien difficile de repérer ce genre d'abus dans toute boite quelque soit... la preuve... ils n'avaient rien vu avant la plainte.
lildadou, le 15/09/2010 - 15:19
T'as jamais bossé en entreprise ou quoi? Tu crois que c'est comme NCIS? T'imagines que Jak Bower reçoit un MMS automatiquement quand y a un abus?!
Ils ont en rien à foutre!
Une entreprise sérieuse n'en n'a pas rien à foutre, mais peut être n'en connaissez vous pas...
darthbob, le 15/09/2010 - 14:59
Attendez...

"Les services de sécurité de Google ont finalement été prévenus en juillet, après la plainte par mail d'une victime. Ils ont enquêté discrètement, et l'ont licencié après avoir constaté les faits."

=> ça veut dire que Google n'ai RIEN vu !!

Et si ce monsieur avait été discret, il aurait donc continuer ses jeux malsains ??
ça fait peur
pas plus que ça ... il y en a plein qui le fond partout. Je me rappel avoir eu une discutions avec une fille qui me disait "j'ai plus de nouvelle de ce mec que j'ai rencontré par internet depuis 3 semaines, je vais demander à une amie qui est dans la police pour savoir où il habite, si il est marier tout ça ... comme ça je pourrait avoir son numéro de téléphone, et si en fait il était marier je vais foutre la merde dans son couple !"...

Donc bon, quand j'entend des gens me dire ça ... si au final la vie privé ne tien qu'a ça ...

De la même manière sur certain projet j'ai pu avoir accès à des bases de donnée très confidentiel, j'ai signé des papiers pour ne pas en divulgué le contenu (ni l'utilisé pour moi même), mais si j'avais été malhonnête j'aurais fait un gros copier coller, et je l'aurait utilisé plus tard.
C'est comme ça, il y a des gens qui ont des accès énorme à certaine donné, et dans le lot il y en a quelques un de pourris.

Autre truc à faire réfléchir : vous appelez votre hotline FAI pour un problème. Vous répond une personne sous payez qui vous demande vos identifiant et N° de téléphone et tout le bordel que vous avez déjà donné 10 fois avant. Ca vous énerve (logique), du cou vous commencer à lui parler comme de la merde. Cette personne vous demande de refaire une manip qu'on vous a déjà demander de faire 5 fois avant cette appel et qui ne change rien, vous commencez à l'insulter, le traiter d'incompétent etc ... vous demandez à parler à son chef, vous finissez par l'avoir, lui il ce prend tout sur la gueule comme quoi il mal fait son boulot, etc...

Maintenant on vas jouer au devinette, si dans la semaine qui suis vous vous faite harcelez au téléphone ? que vous recevez des mail et des courriers de menace ? et j'en passe et des meilleurs. Rappelez moi qui, parmi ceux qui peuvent vous en vouloir, ont eu toute vos informations personnel sous les yeux, qui, en ayant toute ces informations n'a pas eu tranquillement le temps de prendre un crayon et de tout recopier pour bien ce vengé par la suite.

Je vous le donne en mile : un mec sous payé pour faire un boulot de merde, sans compétence, et la seule chose qui vous protège de sa haine envers les "clients à la con" c'est "une signature sur un contrat de non divulgation"...

et après ça vous pensez que vos données personnels sont en sécurité ?
C'est effectivement impossible de deviner qu'un employé a abusé de ses privilèges en utilisant des données confidentielles. Je bosse dans une boîte qui a de gros contrats à travers toute l'Europe et, en tant que développeur dans l'équipe ERP, j'ai accès à tout le contenu de la base de données. Si je décidais de vendre certaines de ces infos confidentielles et stratégiques à un concurrent, mon employeur n'en saurait rien. Il faudrait que le concurrent en question utilise ces infos de manière très peu discrète pour que, peut-être, mon employeur commence à avoir des doutes et se mette à soupçonner une fuite d'infos depuis l'intérieur. Et je doute qu'il puisse aller plus loin que de simples soupçons parce qu'il est évidemment impossible de savoir à quelles données à accédé quel employé (et donc de qui viendrait la fuite).

En d'autres termes, c'est uniquement l'honnêteté des employés qui fait que si peu d'entreprises sont victimes de fuites d'infos. Aucun système, aucune technologie ne peut empêcher les abus en la matière, et même une surveillance orwellienne des employés comporterait beaucoup de failles.

La plupart des affaires liées à l'utilisation abusives de données confidentielles qui sont découvertes le sont parce que les coupables se grillent eux-mêmes, pas grâce à une quelconque surveillance
En fait ce qu'on reproche à ce type c'est d'avoir utilisé des informations confidentielles pour son propre compte.
Si il avait espionné le compte de cet ado pour connaitre le nom de sa petite amie, et par exemple sa date de naissance pour envoyer de la pub au garçon pour des cadeaux juste au voisinage de la date de l'anniversaire de sa petite amie, tout le monde aurait trouvé ça normal et il aurait obtenu une prime pour avoir eu une initiative intéressante.
Parce que google jouant les vierges effarouchées avec le respect de la vie privée, je ne sais pas pour vous mais moi ça me fait bien rigoler...
Ouais tout cela pour avoir le téléphone d'une "petite nana" qu'il ne sautera jamais ...

Par contre, ce qui est préoccupant est plutôt, que les données personnelles détenues par Google, sont facilement consultables par leurs employés...

Bonjour le respect de la vie privée de leurs utilisateurs !
quarkup, le 15/09/2010 - 15:53
De la même manière sur certain projet j'ai pu avoir accès à des bases de donnée très confidentiel, j'ai signé des papiers pour ne pas en divulgué le contenu (ni l'utilisé pour moi même), mais si j'avais été malhonnête j'aurais fait un gros copier coller, et je l'aurait utilisé plus tard.
Le projet sur lequel j'ai bossé dont je parle plus haut ne m'a jamais demandé de signer quoi que ce soit...
Natasha, le 15/09/2010 - 16:07
Ouais tout cela pour avoir le téléphone d'une "petite nana" qu'il ne sautera jamais ...

Par contre, ce qui est préoccupant est plutôt, que les données personnelles détenues par Google, sont facilement consultables par leurs employés...

Bonjour le respect de la vie privée de leurs utilisateurs !
Ca m'étonnerait que ce soit "facilement consultables par leurs employés" ; ne généralisons pas, ici on parle d'*un* employé. Et oui, il y a quelques employés qui doivent avoir ces accès, sinon, le système ne peut pas fonctionner du tout.
Jumbo, le 15/09/2010 - 15:58
En fait ce qu'on reproche à ce type c'est d'avoir utilisé des informations confidentielles pour son propre compte.
Si il avait espionné le compte de cet ado pour connaitre le nom de sa petite amie, et par exemple sa date de naissance pour envoyer de la pub au garçon pour des cadeaux juste au voisinage de la date de l'anniversaire de sa petite amie, tout le monde aurait trouvé ça normal et il aurait obtenu une prime pour avoir eu une initiative intéressante.
Parce que google jouant les vierges effarouchées avec le respect de la vie privée, je ne sais pas pour vous mais moi ça me fait bien rigoler...
Ca, ça m'étonnerais beaucoup... Ils ont des directives sur ce qu'ils ont le droit ou non d'exploiter. Ce sont souvent des directives basées sur les lois des divers pays dans lesquels ils sont implantés. Dans tous les cas, si un utilisateur porte plainte pour un motif légitime, je doute que la direction félicite son employé pour "initiative intéressante".
Jumbo, le 15/09/2010 - 15:58
Parce que google jouant les vierges effarouchées avec le respect de la vie privée, je ne sais pas pour vous mais moi ça me fait bien rigoler...
Oui, c'est parce qu'ils ont une réputation de merde qu'ils ne pouvaient justement pas faire autrement que de se déclarer scandalisés, en jurant aux grands dieux qu'ils sont pro-privacy et non pas anti-privacy comme l'imaginaire collectif les imagine.

Personnellement, je n'utilise aucun service google, et pour la recherche, j'utilise scroogle maintenant à la place, et à part que c'est moche, j'en suis ravi !
Topinambour, le 15/09/2010 - 15:56
parce qu'il est évidemment impossible de savoir à quelles données à accédé quel employé (et donc de qui viendrait la fuite).
en fait si, et avec beaucoup de précision, la base de donnée demande obligatoirement un login et mdp dans le cas que tu site, il y a un log complet de tout ce que tu fais sur la bdd, si tu fais dump sur dump a longueur de journée ... je crois qu'ils pourraient vite venir te poser des questions
Anzufvytar, le 15/09/2010 - 16:19
Jumbo, le 15/09/2010 - 15:58
En fait ce qu'on reproche à ce type c'est d'avoir utilisé des informations confidentielles pour son propre compte.
Si il avait espionné le compte de cet ado pour connaitre le nom de sa petite amie, et par exemple sa date de naissance pour envoyer de la pub au garçon pour des cadeaux juste au voisinage de la date de l'anniversaire de sa petite amie, tout le monde aurait trouvé ça normal et il aurait obtenu une prime pour avoir eu une initiative intéressante.
Parce que google jouant les vierges effarouchées avec le respect de la vie privée, je ne sais pas pour vous mais moi ça me fait bien rigoler...
Ca, ça m'étonnerais beaucoup... Ils ont des directives sur ce qu'ils ont le droit ou non d'exploiter. Ce sont souvent des directives basées sur les lois des divers pays dans lesquels ils sont implantés. Dans tous les cas, si un utilisateur porte plainte pour un motif légitime, je doute que la direction félicite son employé pour "initiative intéressante".
+1 les "pub automatique" son géré par des automates, si ils le fond, c'est parce que les machines fond un traitement statistic et impersonnel. Avoir un homme au milieu c'est mal. C'est d'ailleurs le nom d'une attaque informatique "man in the midle"
Anzufvytar, le 15/09/2010 - 16:12
quarkup, le 15/09/2010 - 15:53
De la même manière sur certain projet j'ai pu avoir accès à des bases de donnée très confidentiel, j'ai signé des papiers pour ne pas en divulgué le contenu (ni l'utilisé pour moi même), mais si j'avais été malhonnête j'aurais fait un gros copier coller, et je l'aurait utilisé plus tard.
Le projet sur lequel j'ai bossé dont je parle plus haut ne m'a jamais demandé de signer quoi que ce soit...
Si tu travailles en SSII, tu dois avoir une clause de confidentialité sur ton contrat de travail, comme c'est souvent le cas.

Donc pas besoin de te faire signer autre chose.
VoidDragon, le 15/09/2010 - 16:30

Si tu travailles en SSII, tu dois avoir une clause de confidentialité sur ton contrat de travail, comme c'est souvent le cas.

Donc pas besoin de te faire signer autre chose.


Et alors ?

C'est pour cela que ce type s'est fait virer, non ?

Ce qui signifie aussi, que la protection effective des données personnelles des utilisateurs laissait à désirer !

1
2
A LA UNE
LES + COMMENTÉS
> Tous les articles
Télécharger
NetScream
Outils Réseau - Doublez la vitesse de votre modem
 
Sonique
Lecteur audio et vidéo - L'alternative au standard
 
Rappel
Organiseur - Tiens j'ai oublié...
 
CDex
Graver ou numériser - Extraire les pistes audio en MP3 ou autres
 
Speccy
Diagnostic - Apprenez à connaitre votre ordinateur sans rien démonter
 
Septembre 2010
 
Lu Ma Me Je Ve Sa Di
30 31 1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28 29 30 1 2 3
4 5 6 7 8 9 10
Matoumba
EntrepreNantes
Numerama est un site du réseau PressTIC