Les données personnelles d’au moins 500 000 utilisateurs ont été touchées par la faille de sécurité de Google+. / Quentin Hugon / LE MONDE

Google a annoncé lundi 8 octobre la fermeture de Google +, le réseau social qu’il avait lancé en 2011 pour concurrencer Facebook. L’annonce s’est faite après la publication d’un article du Wall Street Journal, révélant qu’une faille de sécurité de Google + avait mis en danger les données personnelles d’au moins 500 000 utilisateurs.

Mais au fait, c’est quoi Google + ?

Google + est une sorte de réseau social lancé en 2011 par Google. A l’époque, le service avait une approche assez révolutionnaire : il fonctionnait autour du principe des « cercles », dans lesquels on rangeait ses contacts : « amis », « famille », « collègues »… L’idée des ingénieurs de Google était de proposer un réseau sur lequel on puisse cloisonner ses différents cercles sociaux, pour éviter d’envoyer la photo du petit dernier à ses collègues de travail, ou l’annonce d’un pot d’entreprise avec ses amis.

Malgré ce concept prometteur et un accent mis sur la vie privée, le réseau social n’a jamais vraiment été en position de concurrencer Facebook, n’ayant pas réussi à conquérir le grand public. Avec le temps, et au fil des échecs, Google + a donc évolué, pour devenir une sorte de « hub » connectant tous les services Google grand public. Le moteur informatique de Google + était par exemple utilisé par Google pour gérer les commentaires sur YouTube, l’application Google Photos, ou encore, synchroniser les conversations Hangout.

Qui utilise encore Google + ?

Contrairement à une idée répandue, Google + est loin d’être mort. Bien sûr, le réseau social, lancé en 2011, ne compte plus qu’une toute petite poignée d’« utilisateurs actifs ». Selon les propres chiffres donnés par Google lundi, 90 % des sessions Google + duraient moins de cinq secondes.

Mais si Google ne donne pas les chiffres détaillés d’utilisateurs, on peut estimer à quelques millions le nombre de personnes l’utilisant encore dans le monde pour publier des messages, des photos ou des vidéos. Plusieurs communautés sont en effet restées très attachées à ce réseau social un peu à part. « Ce réseau apporte beaucoup au niveau de la qualité des échanges, et la richesse de ses communautés lui permet de proposer un contenu attractif, divertissant, et original. J’ai testé Facebook et Twitter pour partager des contenus, mais là où j’ai pu avoir les meilleures expériences, c’est sur Google + », expliquait par exemple une utilisatrice au Monde cet été.

Par ailleurs, des centaines de millions de personnes ont aujourd’hui un compte Google +… sans le savoir. Pour « pousser » son réseau social, Google a pendant des années créé automatiquement des comptes Google + à toutes les personnes s’inscrivant à certains de ses services (Gmail, YouTube). La très grande majorité des utilisateurs de Gmail ou de possesseurs d’un téléphone Android disposent ainsi d’un compte Google +, le plus souvent sans en être conscient. En 2014, les équipes de Google revendiquaient ainsi 540 millions d’utilisateurs de Google +, mais sans préciser qui était réellement actif sur le réseau.

Comment savoir si j’ai un compte Google + ?

Connectez-vous à votre compte Google. Cliquez ensuite sur votre avatar, en haut à droite de l’écran. Si un lien « profil Google + » apparaît, c’est que vous en avez un. Vous pourrez alors consulter les informations que vous avez, consciemment ou pas, publiées sur Google + – « aimer » une vidéo YouTube a pu, à une époque, s’afficher sur votre profil sans que vous en soyez informé.

Si vous souhaitez supprimer votre compte dès maintenant, rendez-vous dans votre profil Google +. Dans le menu de gauche, cliquez sur « Paramètres ». Tout en bas de la page, une option vous permet de supprimer votre compte.

Suis-je concerné par la faille ?

Il est très compliqué de le savoir, la gravité de la faille révélée par le Wall Street Journal étant difficile à mesurer. Google n’a donné que des éléments assez génériques sur le fonctionnement de la faille, qui ne touchait « que » les utilisateurs Google + utilisant certains services tiers (non détaillés) se connectant à l’API de Google + (un ensemble de règles et de logiciels qui permettaient à des services extérieurs de se « brancher » sur Google +).

Google a simplement donné une estimation du nombre total de comptes qui pouvaient être vulnérables en mars, au moment de la découverte de la faille : 500 000 comptes. Ce chiffre était potentiellement beaucoup plus important en 2015, au moment où la faille a été introduite. Google ne conservant les historiques de connexion que durant quinze jours, et la faille n’ayant été découverte que trois ans après son introduction, l’entreprise est dans l’incapacité de dire si des données ont effectivement été dérobées, ni, le cas échéant, combien de personnes ont été touchées.

Les informations qui étaient potentiellement accessibles à des développeurs d’applications tierces étaient cependant relativement limitées : le nom, l’adresse de messagerie, l’emploi, l’âge et le genre des utilisateurs.

Dois-je changer de mot de passe Gmail ? Prendre d’autres dispositions ?

Non. La faille a été corrigée, et les informations de connexion, comme les mots de passe, n’étaient pas concernées par la faille, selon l’enquête de Google.

En revanche, si vous ne l’avez pas déjà fait, il est toujours très fortement recommandé d’activer la double authentification sur votre compte Google. La faille rendue publique ce lundi ne nécessite aucune action spécifique de votre part, mais la double authentification est un excellent outil pour sécuriser votre compte et vos données de manière générale. Il consiste à vous envoyer un code supplémentaire, par SMS par exemple, à chaque tentative de connexion.

Pourquoi ne l’apprend-on que maintenant ?

Le fait que Google ait choisi de garder l’existence de cette faille secrète jusqu’aux révélations du Wall Street journal, même après l’avoir corrigée, est contraire aux bonnes pratiques en la matière. Cette dissimulation, choisie par Google pour ne pas être associé dans l’esprit du grand public au scandale Cambridge Analytica qui touchait Facebook au moment de la découverte du problème, soulève des questions sur la confiance que les utilisateurs peuvent accorder à Google en matière de transparence.

La comparaison avec Facebook, qui a communiqué il y a deux semaines sur la découverte d’une importante faille de sécurité ayant affecté 50 millions de comptes, n’est ainsi pas forcément flatteuse pour Google. Mais, entre mars, moment où la faille Google + a été découverte, et octobre, le cadre législatif a changé : le règlement européen RGPD impose désormais aux entreprises de signaler aux régulateurs de la vie privée, et dans certains cas à leurs utilisateurs, la découverte de failles mettant en danger des données personnelles. Le texte n’était pas encore entré en vigueur en mars, ce qui a pu conforter Google à ne pas révéler ce problème.

En quoi l’affaire est-elle différente du scandale Cambridge Analytica qui a touché Facebook ?

Les deux dossiers sont, de prime abord, assez semblables. Dans les deux cas, des éditeurs d’applications tierces pouvaient tirer parti de l’interface de programmation de Facebook ou de Google + pour collecter des informations personnelles. Mais les deux dossiers sont, sur le fond, très différents. Dans le cas de Cambridge Analytica, ce n’est pas une faille qui a été exploitée pour collecter les données ; c’était une fonctionnalité bien connue et documentée, proposée à dessein par Facebook. Dans le cas de Google +, il s’agissait d’une faille de sécurité, que Google a colmatée dès qu’il en a découvert l’existence.

Le volume d’utilisateurs touchés est également très différent. Cambridge Analytica a pu récupérer, via une autre société, des données sur 87 millions d’utilisateurs de Facebook. En comparaison, on ignore si des données d’utilisateurs de Google ont bien été collectées illégalement par des tiers : les données étaient mal protégées, mais à ce stade, Google affirme n’avoir trouvé aucune trace d’une exploitation de la faille. Par ailleurs, les données absorbées puis transmises à Cambridge Analytica étaient très détaillées, et comprenaient par exemple tous les centres d’intérêt des utilisateurs, alors que la faille Google + ne donnait accès qu’à des informations basiques.