Au lieu de perdre de l'énergie à maintenir Google+, l'entreprise de Mountain View préfère fermer la version grand public de son réseau social. L'intérêt pour les utilisateurs par rapport au risque encouru n'était pas raisonnable.

Cela n’aura probablement pas les mêmes répercussions que l’affaire Cambridge Analytica qui a ébranlé Facebook, mais les tenants et les aboutissants sont exactement les mêmes : l’API (interface entre les profils et les applications) de Google+ avait une faille de sécurité qui laissait les développeurs accéder à des informations indiquées comme privées par l’utilisateur. Ces informations (nom, adresse email, métier, genre, âge) permettent de créer sans mal un profil publicitaire de l’utilisateur ciblé, tout comme un profil politique pour orienter des campagnes. Si Google affirme qu’il n’a connaissance d’aucun développeur ayant pris connaissance du bug et utilisé l’API à ces fins, sa solution reste radicale : fermer Google+.

Dans un long billet de blog sur le Project Strobe, censé faire un audit de sécurité sur les services à destination du public, Google a annoncé la mort de son réseau social. « Ce passage en revue a cristallisé ce que nous savions depuis longtemps : même si nos ingénieurs ont tout donné pour développer Google + année après année, le réseau social n’a pas atteint la masse critique qu’il lui fallait, pas plus qu’une adoption par les développeurs ou une bonne interaction avec les applications ». Bref, Google+ est un échec et la découverte de cette faille de sécurité est une bonne raison pour la maison-mère de ne plus s’embarrasser avec le réseau social et risquer la sécurité des utilisateurs.

La dernière image avec Google Plus dans le titre uploadée sur Numerama (2015) // Source : Capture d’écran

Peu d’utilisateurs : une aubaine !

Cet aveu de la part de Google donne aussi la raison pour laquelle la fin de Google+ n’aura pas les répercussions de Cambridge Analytica sur l’entreprise de Mountain View : peu de gens utilisaient le réseau social et les développeurs ne s’y sont pas intéressés. Cela signifie que le risque d’avoir des opérations malicieuses sur les comptes est très faible. Et sur les nombreux comptes fantômes de Google+, liés à un identifiant Gmail, seuls 500 000 comptes auraient pu être affectés par 438 applications qui auraient pu utiliser l’API avant mars 2018, date à laquelle le bug a été corrigé. Google n’a aucun indice sur une utilisation réelle du bug car les journaux d’événements (logs) liés à l’activité des applications ne sont conservés que deux semaines.

Cette mort, Google l’amorce dès aujourd’hui. Elle prendra 10 mois et s’achèvera en août 2019, le temps que les personnes qui ont créé des communautés encore actives fassent leurs valises.

En revanche, pour les clients professionnels, Google conservera l’architecture de Google+, comme une sorte de réseau social privé, déployé sur des réseaux fermés, à l’intérieur des entreprises. Le géant estime que les professionnels sont plus enclins à l’utiliser que les particuliers et que certaines entreprises en ont fait un outil puissant. Et si elles ne connectent à Google+ que leurs applications, le service est moins difficile à maintenir.

Plus de sécurité et de contrôle

Dans le même temps, le projet Strobe a permis à Google de trouver d’autres problèmes dans ses interfaces et dans ses logiciels — et d’apporter des solutions. L’article évoque par exemple une meilleure granularité du côté des autorisations des applications dans les formulaires de Connexion avec Google qui sont utilisés un peu partout sur Internet — sur Numerama y compris.

Granularité // Source : Google

Enfin, Google va limiter l’usage de son API de connexion à l’intention de l’utilisateur, en modifiant notamment ses règles pour les développeurs. Par exemple, si vous donnez votre adresse email pour créer un compte sur Numerama, ce n’est pas pour que nous vous inscrivions à notre newsletter sans vous le demander. La même logique sera appliquée pour les applications Android qui souhaitent utiliser votre numéro de téléphone : Google va cesser de communiquer votre journal d’appels ou les permissions liées aux SMS si l’application n’en a pas intrinsèquement besoin pour communiquer.

Partager sur les réseaux sociaux