Vers un scandale « à la Cambridge Analytica » chez Google ? Michael Lack et Irwin Reyes ne l’affirment pas. Mais ils soulèvent la question dans une étude présentée au 41e Congrès de l’IEEE sur la sécurité et la vie privée.
Les deux chercheurs, qui travaillent pour l’entreprise américaine Two Six Labs, se sont intéressés à la marketplace G Suite. En date du 2 janvier 2020, le catalogue comptait 1 392 applications web censées être utilisables avec la suite bureautique.
Lack et Reyes ont pu en connecter 987 d’entre elles à un compte Google (@gmail.com). La plupart de celles qu’ils ne sont pas parvenus à connecter requéraient un compte administrateur G Suite.
La majeure partie de ces 987 applications demandaient au moins une autorisation d’accès via l’API Google (889 en l’occurrence).
La permission le plus fréquemment demandée (50 % des cas) consiste à afficher et exécuter du contenu web au sein des applications de la suite bureautique.
Vient ensuite la permission de contacter un service externe (481 applications). Et sur ce volet, c’est le flou. On ne peut compter que sur les développeurs pour préciser la nature desdits services dans la description de leurs applications. Mais c’est loin d’être systématique, affirment les chercheurs.
En combinant les permissions, on obtient, parmi ces 481 applications :
Il existe une procédure de contrôle préalable à la publication des applications sur la marketplace.
Elle peut durer plusieurs jours pour les utilisations « sensibles » de l’API.Et plusieurs semaines pour les utilisations que Google qualifie de « restreintes ».
Compte tenu de ces délais, Google autorise la publication avant approbation. Les applications qui sont dans ce cas affichent un message d’alerte avant la connexion à un compte Google. Elles sont par ailleurs soumises à une limite de 100 installations, avec des ajustements possibles « sur la base de l’historique de l’application, de la réputation du développeur et du risque ».
Sur l’ensemble des applications examinées le 2 janvier, 277 applications étaient dans ce cas.
Lack et Reyes ont pu en connecter 144 à leur compte. Parmi elles, les demandes d’autorisation d’accès à l’agenda et aux contacts sont plus fréquentes que sur l’ensemble de l’échantillon des 987.
Deux semaines plus tard (le 18 janvier 2020), l’essentiel de ces 144 applications (124) avaient toujours le statut « non vérifié ».
24 avaient par ailleurs dépassé les 100 connexions de comptes Google, avec les mêmes autorisations que le 2 janvier – ce qui semble exclure un éventuel passage au statut « vérifié », puis un retour au « non vérifié ».
Une application en particulier a enregistré plus de 1 000 connexions de comptes dans cet intervalle de 2 semaines : ezShared Contacts. Elle requiert la connexion à un service externe, mais aussi un plein accès à Gmail en lecture/écriture.
Lack et Reyes émettent plusieurs recommandations :
Illustration principale © Google
Sous la marque Horizon OS, Meta va ouvrir le système d'exploitation des casques Quest à…
Après avoir essaimé dans 145 pays, la communauté de femmes de la tech Women Who…
Les voix du CISPE et des associations d'utilisateurs s'accordent face à Broadcom et à ses…
Bonnes pratiques, indicateurs, prestataires... Aperçu de quelques arbitrages que le comité d'organisation de Paris 2024…
Le 31 mars 2023, le PTCC (Programme de transfert au Campus Cyber) était officiellement lancé.…
Nicolas Gour, DSI du groupe Worldline, explique comment l’opérateur de paiement fait évoluer sa gouvernance…