Une nouvelle fuite chez Google : les échecs de protection de la vie privée
Au cours des dernières années, Google a tenté de se refaire une image en tant que défenseur de la vie privée - au centre de cette quête se trouve le Privacy Sandbox de Google, présenté comme une alternative au suivi intersite qui préserve la vie privée (ce qu'il ne fait finalement pas comme expliqué ici).
Alors que la sensibilisation aux questions de protection de la vie privée ne cesse de croître - une étude récente suggère que près de 90 % des Américains sont plus préoccupés par leur vie privée et la sécurité de leurs données que par l'état de l'économie américaine, les grandes entreprises technologiques sont soumises à une pression croissante (à la fois de la part des consommateurs et des autorités de régulation) pour qu'elles prennent des mesures. Cependant, parler de la protection de la vie privée est une chose, mais joindre le geste à la parole en est une autre. La dernière fuite en date, qui révèle six années d'incidents précédemment inconnus liés à la protection de la vie privée chez Google et signalés en interne par ses propres employés entre 2013 et 2018, jette une ombre sur ces efforts.
Adresses, plaques d'immatriculation et données vocales
[La fuite a été signalée par 404 médias] (https://www.404media.co/google-leak-reveals-thousands-of-privacy-incidents/), qui ont obtenu d'un informateur anonyme un ensemble de données révélant des dizaines d'incidents liés à la protection de la vie privée, qu'ils soient liés à Google ou à ses fournisseurs tiers. Selon le rapport, la base de données contient des "milliers de rapports" qui ont été déposés par des employés de Google et qui, selon Google, ont tous été traités et résolus.
Voici donc quelques-uns des incidents signalés par les employés de Google et que nous avons trouvés particulièrement déconcertants.
Dans un cas, le service vocal de Google a enregistré par erreur des données vocales pendant une heure, ce qui a entraîné la collecte d'"environ 1 000 paroles d'enfants".
Dans un autre cas, Street View de Google a photographié et transcrit les plaques d'immatriculation des voitures (alors qu'elles auraient dû être automatiquement censurées) et a ensuite stocké ces informations sensibles. Il est important de noter que beaucoup d'entre nous n'ont jamais donné le feu vert à Google pour photographier nos maisons et nos véhicules. En fait, il existe de nombreuses plaintes sur les forums de la communauté Google où les gens ont exprimé leurs inquiétudes concernant les véhicules StreetView qui pénètrent sans autorisation dans des propriétés privées et prennent des photos à 360 degrés d'entreprises et de résidences.
Les clients qui investissent dans les produits haut de gamme de Google, vendus sur la promesse d'une confidentialité et d'une sécurité accrues, pourraient réfléchir à deux fois avant de confier leurs données à Big G après avoir entendu l'histoire suivante. Selon le rapport, un client de Google Cloud utilisant le produit gouvernemental conçu pour protéger les données sensibles a été déplacé par erreur vers un service grand public. Cette transition a entraîné la perte de la garantie de l'emplacement des données américaines pour le client concerné. Si cela n'est pas très grave pour un utilisateur ordinaire, l'assurance que ses données resteront aux États-Unis et ne seront pas déplacées à l'autre bout du monde est généralement très importante pour les services gouvernementaux.
Dans un autre incident dans lequel Google était également une partie lésée, les adresses électroniques de plus d'un million d'utilisateurs de Socratic.org, une société de technologie de l'éducation acquise par Google en mars 2018, ont fait l'objet d'une fuite. Ces informations ont été trouvées directement dans le code du site web. En outre, on craignait que les données de géolocalisation et d'adresse IP de ces utilisateurs, y compris des enfants, aient également été compromises. Google a remédié à la fuite après l'acquisition de la société, mais les données avaient été exposées pendant un an avant l'acquisition, ce qui a fait naître le soupçon qu'elles avaient peut-être déjà été récoltées.
L'historique de YouTube et les liens vers Google Doc ineffaçables à la vue de tous
Le dernier trio d'incidents que nous souhaitons mettre en lumière concerne des services que tout le monde utilise quotidiennement.
Le plus troublant d'entre eux est sans doute le fait que des vidéos téléchargées sur YouTube avec des paramètres de confidentialité désignés comme "non répertoriés" ou "privés" ont été rendues visibles au public pendant une "courte" période, créant un cauchemar potentiel pour les personnes et les organisations qui partagent des informations sensibles ou du contenu d'entreprise sur YouTube (ce que nous ne conseillons pas de faire en premier lieu).
Dans un autre incident qui aurait pu affecter un grand nombre de personnes, Google aurait mal géré les contrôles d'accès à Google Drive et Google Docs, accordant par inadvertance un accès public à des fichiers destinés uniquement aux personnes ayant un lien partagé. Selon le rapport, Google a traité les contrôles d'accès "Anyone with the link" comme "Public", ce qui signifie que les fichiers auraient pu être trouvés sans lien direct, par exemple par le biais d'une recherche sur le web. Bien que la probabilité que quelqu'un cherche au hasard une fuite de Google Doc soit faible, cela a néanmoins créé une vulnérabilité pour des fuites potentielles d'informations sensibles.
Dans le troisième incident, qui n'est pas directement lié à la protection de la vie privée, mais qui illustre néanmoins l'application laxiste par Google de ses propres règles, YouTube, qui appartient à Google, a apparemment ignoré ses propres règles lorsqu'il a continué à recommander des vidéos sur la base de celles qui avaient été supprimées de l'historique de visionnage. Les règles actuelles de YouTube stipulent : "Si vous remarquez des recommandations sur un sujet qui ne vous intéresse pas, essayez de supprimer une vidéo que vous avez regardée précédemment sur ce sujet. Cela pourrait réduire le risque de voir apparaître des recommandations similaires à l'avenir." L'expression "peut réduire" ne semble pas être une garantie absolue, mais elle crée certaines attentes.
Le contrôle de vos données
Les manquements de Google en matière de protection de la vie privée, révélés par cette dernière fuite, ne sont qu'un exemple parmi d'autres des défis permanents que pose la protection des informations personnelles en ligne. En outre, ce n'est de loin pas le premier, ni probablement le dernier, témoignage du piètre bilan de Google en matière de protection de la vie privée.
On a beaucoup écrit sur la possibilité de se dégoogliser, et certains d'entre vous ont peut-être même tenté l'expérience, conscients des risques associés au fait de confier autant de données à une seule et même entité. Si vous faites partie des utilisateurs qui ont opté pour des options plus privées, nous vous félicitons pour vos efforts et votre détermination. Cependant, pour la plupart d'entre nous, divorcer complètement de l'écosystème de Google peut être une tâche décourageante et n'est pas nécessairement ce dont nous avons besoin ou ce que nous voulons.
Nous préconisons plutôt une approche pragmatique qui consiste à réduire ce que vous partagez et à tirer parti des outils fournis par Google pour gérer votre empreinte en ligne. La vérification de vos informations personnelles en ligne par aide des outils tels que "Results about you" et la prise de mesures pour les supprimer et minimiser l'exposition peuvent contribuer à atténuer les risques de fuite et de mauvaise manipulation de vos informations personnellement identifiables dans notre monde de plus en plus axé sur les données.
