Search

Derrière la faille touchant Google +, l'éternelle question du fonctionnement des API

Le logo de Google+ à une présentation de Google, en 2013.

Lundi 8 octobre, Google a confirmé les informations du Wall Street Journal, qui a révélé l’existence d’une faille de sécurité touchant Google +. Selon les informations récoltées par l’entreprise, ce sont près de 500 000 comptes Google + qui ont pu être</a> touchés par le problème de sécurité, pendant une période de deux semaines. La faille permettait, sous certaines conditions, de collecter</a> des informations personnelles sur les utilisateurs de Google +, grâce à une fonctionnalité de son API.

Qu’est-ce qu’une API ?

Les API sont le point commun de très nombreux problèmes de sécurité ayant conduit, ces derniers mois, à la fuite de données personnelles d’utilisateurs. Ce sigle bien connu des informaticiens désigne les « interfaces de programmation applicative », c’est-à-dire l’ensemble des outils qui permettent à des services Web ou à des programmes de communiquer</a> entre eux.

La plupart des grands services et plates-formes que nous utilisons tous les jours proposent une API. Elles sont ensuite utilisées par des développeurs tiers qui veulent intégrer</a> les services en question leur propre interface. L’API de Google Maps, par exemple, permet à des sites et applications en dehors de Google de créer</a> des cartes personnalisées. L’API de Twitter</a> permet, elle, de proposer</a> aux lecteurs d’un site de poster</a> automatiquement sur Twitter un article ou une page.

Des « passerelles » de données

Pour fonctionner</a>, ces outils ont besoin de pouvoir</a> accéder</a> à certaines données des utilisateurs. Dans la vaste majorité des cas, cela se fait de manière sécurisée : par exemple, le site qui affiche un module permettant de publier</a> un tweet automatiquement n’accède pas aux informations détaillées du compte Twitter de l’utilisateur. Ces informations restent stockées chez Twitter, et l’API sert de « passerelle » pour réaliser</a> une action sans partager</a> toutes les informations nécessaires.

Mais dans certains cas, les API permettent de collecter de nombreuses informations, notamment lorsqu’elles ne sont pas conçues pour masquer</a> les données des utilisateurs. Un exemple récent est à l’origine du scandale Cambridge Analytica, qui a vu les données personnelles de millions d’utilisateurs de Facebook être exploitées à des fins de propagande politique sans leur autorisation. La société qui a récolté les données avant de les revendre</a> à Cambridge Analytica avait créé un petit quiz. Ce jeu tirait parti d’une fonctionnalité de l’API de Facebook, qui servait à collecter les données des « amis » Facebook des joueurs, sans leur demander</a> leur autorisation. Cambridge Analytica a ainsi pu récolter</a> de gigantesques quantités d’informations.

Conditions parfois peu claires

Dans la plupart des cas d’utilisation problématique d’une API, la question centrale est celle de l’autorisation des usagers. Durant l’été 2018, des internautes s’étaient émus en découvrant ou redécouvrant que certaines applications tierces pouvaient lire</a> le contenu des emails stockés sur Gmail, lorsqu’ils avaient installé des logiciels générant par exemple une notification lors de l’arrivée d’un nouveau mail. Les utilisateurs concernés avaient, sans s’en rendre</a> compte, accepté de donner</a> l’accès de leur compte à ces applications – en validant une demande d’accès peu claire d’une application.

Dans son message confirmant l’existence du problème touchant l’API de Google +, publié ce 8 octobre, Google a également annoncé qu’il allait restreindre</a> beaucoup plus fortement la manière dont les applications tierces peuvent accéder à certaines informations par le biais des API de ses services. « Lorsque nos utilisateurs autorisent des applications Android à accéder à leurs SMS, à leurs contacts ou à leur téléphone, ils le font avec certaines utilisations en tête, reconnaît Google. Nous allons limiter</a> la capacité des applications à recevoir</a> des informations sur l’historique des appels ou les SMS sur Android, et nous ne les laisserons plus accéder aux données sur les interactions avec les contacts via l’API. »

Let's block ads! (Why?)

https://www.lemonde.fr/pixels/article/2018/10/09/derriere-la-faille-touchant-google-l-eternelle-question-du-fonctionnement-des-api_5366741_4408996.html

Bagikan Berita Ini

0 Response to "Derrière la faille touchant Google +, l'éternelle question du fonctionnement des API"

Post a Comment

Powered by Blogger.