Google+ : "Sur 139 sites web de grandes entreprises" analysés en France, "53% ont la même faille"

Gérôme Billois, expert en cybersécurité pour le cabinet de conseil Wavestone, a affirmé, mardi 9 octobre sur franceinfo, que "sur 139 sites web de grandes entreprises" analysés en France, "100% de ces sites ont au moins une faille de sécurité et 53% de ces sites ont la même faille" que Google+.

Après avoir découvert une faille de sécurité, le géant américain a annoncé lundi la fermeture de son réseau social. Ce sont 500 000 comptes qui ont été potentiellement touchés en mars dernier, mais Google précise n'avoir "aucune preuve" que cette faille ait été découverte.

franceinfo : Pourquoi Google ne communique-t-il que maintenant ?

Gérôme Billois : Google a attendu parce que le groupe avait peur d'un effet d'emballement qui, exactement au même moment, touchait Facebook. L'affaire Cambridge Analytica où Facebook avait vu énormément de données à caractère personnel fuiter et volées par cette société. On sait que le sujet de la protection des données à caractère personnel est très sensible, y compris politiquement, et la réglementation pourrait se durcir.

Google+ était de toute façon un réseau social moribond…

C'est presque la bonne nouvelle de cette annonce, 500 000 comptes ont été potentiellement touchés, mais finalement il y a très peu d'échanges sur ce réseau social. Les données dont on parle étaient sûrement très anciennes, peut-être de mauvaise qualité. L'impact est très limité. Mais le fait d'avoir un compte Gmail crée automatiquement un compte Google+. Certains internautes, même beaucoup, peuvent être touchés. Comme toujours, il faut être attentif à ce qu'il peut se passer dans sa boîte mail en restant attentif.

En quoi les données personnelles ont-elles une valeur ?

Les données à caractère personnel ont énormément de valeur. Elles peuvent se revendre, soit légalement dans des conditions qui sont parfois un peu limite par rapport à la réglementation, mais également se revendre illégalement sur les marchés noirs du cybercrime. Les sites web sont régulièrement la cible des attaques. On vient d'analyser la sécurité de 139 sites web en France. On voit que sur ces 139 sites web de grandes entreprises, 100% de ces sites ont au moins une faille de sécurité et 53% de ces sites ont la même faille, une faille similaire à celle qui a touché Google+.

Comment se fait-il que Google ne sache pas vraiment si des données personnelles ont été volées ?

Google ne pense pas que cela ait été utilisé de manière malicieuse, mais le problème, c'est qu'ils n'ont que deux semaines d'historique. Ils n'en sont pas sûrs. C'est eux-mêmes qui ont découvert ces problèmes. Ils n'ont que deux semaines d'historique, de qui a accédé à quoi, justement dans une logique du respect de la vie privée pour ne pas pouvoir tracer ce qu'on fait pendant des années et pouvoir reconstruire notre vie numérique. C'est le pendant de la protection de nos données. Google oublie vite mais peut-être trop vite pour pouvoir faire une investigation cyber poussée dans la cadre de cet incident.