La semaine dernière Google annonçait via un article la découverte d’une faille dans une des API de Google + ainsi que la fermeture de ce dernier. Voici donc une liste des choses importantes à retenir de cet article.

1) Lancement du projet “Strobe” : audit / review de toutes les API qui permettent d’accéder aux comptes Google et appareils Android

2) Donc audit et review des APIs associées à Google +

3) 1er constat intéressant concernant Google + : beaucoup d’efforts de la part des équipes Google pour développer Google + depuis des années, cependant pas d’adoption et très peu d’engagement de la part des utilisateurs (90% des sessions Google + sont < 5 secondes)

2ème constat : découverte d’un bug dans une des APIs Google +. En effet, les utilisateurs pouvaient donner accès aux informations de leur compte via l’API. Ce qui pose problème est que les applications pouvaient aussi avoir accès à des informations marquées comme non publiques (nom, mail, adresse, emploi, sexe et age). A noter que ce sont les seules données concernées par la faille (les messages, numéro de téléphone etc … ne sont pas concernés)

5) D’après Google, ce bug n’a pas été exploité et personne d’autre n’était au courant

6) Pour donner plus de contrôle / vision aux utilisateurs sur les données qu’ils partagent avec les applications, Google va lancer des boîtes de dialogues informatives plus précises lorsque l’on est connecté sur son compte Google

7) Google change sa politique de données pour les APIs Gmail et Contacts Android : plus de restrictions sur ce qu’il est possible de faire avec ces APIs (limiter à la réception d’appels / sms pour Android Contacts, plus d’accès au journal d’appels ou des sms par exemple)

Voici un exemple de mise en place de boîtes de dialogues informatives plus précises pour les droits donnés aux applications :

Voici à quoi ressemble la gestion des droits aujourd’hui

Prochainement les utilisateurs auront + de détails et devront donner les permissions une par une avant de se connecter