Google : oups, il se peut que nous ayons envoyé vos vidéos privées de Google Photos dans les archives d'utilisateurs sans rapport avec vous, à d'autres possesseurs de comptes

https://www.developpez.com/actu/292466/Google-oups-il-se-peut-que-nous-ayons-envoye-vos-videos-privees-de-Google-Photos-dans-les-archives-d-utilisateurs-sans-rapport-avec-vous-a-d-autres-possesseurs-de-comptes/

C’est, de façon brossée, le message que la firme de Mountain View a fait parvenir il y a peu aux utilisateurs de son service Google Photos. L’entreprise communiquait à propos d’un incident technique survenu entre les 21 et 25 novembre 2019 et qui a mis à mal la fonctionnalité Download Your Data du service empêchant à des utilisateurs de télécharger leurs vidéos.

« Malheureusement, pendant cette période, certaines de vos vidéos dans Google Photos ont été exportées de façon incorrecte dans les archives d’utilisateurs sans rapport avec vous. Une ou plusieurs des vidéos de votre compte Google Photos ont été affectées par ce problème », écrit le géant de la filière technologique.

Au centre du bogue : Takeout – l’outil de Google pour télécharger les données de ses applications afin de pouvoir en user sur d’autres services. Seuls 0,01 % des utilisateurs auraient été affectés, d’après des chiffres remontés par l’entreprise américaine. En prenant en compte que le service mobilise des milliards d’utilisateurs, il vient qu’on évalue le nombre de personnes touchées en milliers.

Recommandation aux tiers concernés : exécuter un nouvel export de données et de supprimer celui déjà effectué pendant cette période. Cela permettra de se débarrasser de contenus qui ont atterri dans vos archives du fait du bug. C’est aussi le lieu de faire un rappel sur les risques de sécurité majeurs de l’informatique dans le nuage :

  • l’existence de brèches de sécurité tant sur l’une des couches logiques du Datacenter que celles issues d’erreurs humaines ;
  • l’utilisation d’API non sécurisées pour l’intégration des applications avec les services cloud ;
  • l’exploitation de vulnérabilités des systèmes d’exploitation sur les serveurs du cloud et même sur les applications hébergées ;
  • le piratage de compte, qui est un vieux type d’attaque informatique, vient avec une forte recrudescence depuis l’avènement d’Internet et encore celui du cloud computing ;
  • une action malveillante initiée en interne dans les effectifs du fournisseur. Une personne malveillante dans l’équipe de gestion du Datacenter peut facilement nuire à la confidentialité et l’intégrité des environnements hébergés ;
  • les menaces persistantes avancées (en anglais, APT : Advanced Persistent Threats) qui consistent en une forme d’attaque où le hacker réussit à installer d’une façon ou d’une autre un dispositif dans le réseau interne de l’organisation, à partir duquel il peut extirper des données importantes ou confidentielles. C’est une forme d’attaque difficile à détecter pour un fournisseur de services cloud ;
  • la perte de données qui peut être causée par une attaque informatique (logique) du Datacenter, une attaque physique (incendie ou bombardement), une catastrophe naturelle, ou même simplement à un facteur humain chez le fournisseur de services, par exemple en cas de faillite de la société ;
  • les insuffisances dans les stratégies internes d’adoption ou de passage au cloud. Les entreprises ou les organisations ne prennent pas souvent en compte tous les facteurs de sécurité liés à leur fonctionnement avant de souscrire à un service cloud. Certaines négligences, tant au niveau du développement d’application qu’au niveau de l’utilisation basique, leur sont parfois fatales ;
  • utilisation frauduleuse des technologies cloud en vue de cacher l’identité et de perpétrer des attaques à grande échelle. Généralement, il s’agit de comptes créés pendant les périodes d’évaluation (la plupart des FAI proposent 30 jours d’essai gratuits) ou des accès achetés frauduleusement ;
  • le déni de service qui est une attaque qui consiste à rendre indisponible un service par une consommation abusive des ressources telles que les processeurs, la mémoire ou le réseau. L’idée, pour le pirate, c’est de réussir à surcharger les ressources du Datacenter en vue d’empêcher d’autres utilisateurs de profiter des services ;
  • Les failles liées à l’hétérogénéité des technologies imbriquées dans l’architecture interne du cloud, et l’architecture externe d’interfaçage avec les utilisateurs.

C’est des développements qui interpellent quant à ceci qu’il vaut mieux éviter de télécharger des contenus sensibles sur le cloud. Le simple fait qu’un tel bug puisse exister doit inciter tout le monde à faire attention à son hygiène numérique.