Discussion :

[Patrick Ruiz]

Google : oups, il se peut que nous ayons envoyé vos vidéos privées de Google Photos dans les archives d’utilisateurs sans rapport avec vous
À d’autres possesseurs de comptes

C’est, de façon brossée, le message que la firme de Mountain View a fait parvenir il y a peu aux utilisateurs de son service Google Photos. L’entreprise communiquait à propos d’un incident technique survenu entre les 21 et 25 novembre 2019 et qui a mis à mal la fonctionnalité Download Your Data du service empêchant à des utilisateurs de télécharger leurs vidéos.

« Malheureusement, pendant cette période, certaines de vos vidéos dans Google Photos ont été exportées de façon incorrecte dans les archives d’utilisateurs sans rapport avec vous. Une ou plusieurs des vidéos de votre compte Google Photos ont été affectées par ce problème », écrit le géant de la filière technologique.

Au centre du bogue : Takeout – l’outil de Google pour télécharger les données de ses applications afin de pouvoir en user sur d’autres services. Seuls 0,01 % des utilisateurs auraient été affectés, d’après des chiffres remontés par l’entreprise américaine. En prenant en compte que le service mobilise des milliards d’utilisateurs, il vient qu’on évalue le nombre de personnes touchées en milliers.

Recommandation aux tiers concernés : exécuter un nouvel export de données et de supprimer celui déjà effectué pendant cette période. Cela permettra de se débarrasser de contenus qui ont atterri dans vos archives du fait du bug. C’est aussi le lieu de faire un rappel sur les risques de sécurité majeurs de l’informatique dans le nuage :

• l’existence de brèches de sécurité tant sur l’une des couches logiques du Datacenter que celles issues d’erreurs humaines ;
• l’utilisation d’API non sécurisées pour l’intégration des applications avec les services cloud ;
• l’exploitation de vulnérabilités des systèmes d’exploitation sur les serveurs du cloud et même sur les applications hébergées ;
• le piratage de compte, qui est un vieux type d’attaque informatique, vient avec une forte recrudescence depuis l’avènement d’Internet et encore celui du cloud computing ;
• une action malveillante initiée en interne dans les effectifs du fournisseur. Une personne malveillante dans l’équipe de gestion du Datacenter peut facilement nuire à la confidentialité et l’intégrité des environnements hébergés ;
• les menaces persistantes avancées (en anglais, APT : Advanced Persistent Threats) qui consistent en une forme d’attaque où le hacker réussit à installer d’une façon ou d’une autre un dispositif dans le réseau interne de l’organisation, à partir duquel il peut extirper des données importantes ou confidentielles. C’est une forme d’attaque difficile à détecter pour un fournisseur de services cloud ;
• la perte de données qui peut être causée par une attaque informatique (logique) du Datacenter, une attaque physique (incendie ou bombardement), une catastrophe naturelle, ou même simplement à un facteur humain chez le fournisseur de services, par exemple en cas de faillite de la société ;
• les insuffisances dans les stratégies internes d’adoption ou de passage au cloud. Les entreprises ou les organisations ne prennent pas souvent en compte tous les facteurs de sécurité liés à leur fonctionnement avant de souscrire à un service cloud. Certaines négligences, tant au niveau du développement d’application qu’au niveau de l’utilisation basique, leur sont parfois fatales ;
• utilisation frauduleuse des technologies cloud en vue de cacher l'identité et de perpétrer des attaques à grande échelle. Généralement, il s’agit de comptes créés pendant les périodes d’évaluation (la plupart des FAI proposent 30 jours d’essai gratuits) ou des accès achetés frauduleusement ;
• le déni de service qui est une attaque qui consiste à rendre indisponible un service par une consommation abusive des ressources telles que les processeurs, la mémoire ou le réseau. L’idée, pour le pirate, c’est de réussir à surcharger les ressources du Datacenter en vue d’empêcher d’autres utilisateurs de profiter des services ;
• Les failles liées à l’hétérogénéité des technologies imbriquées dans l’architecture interne du cloud, et l'architecture externe d'interfaçage avec les utilisateurs.

C’est des développements qui interpellent quant à ceci qu’il vaut mieux éviter de télécharger des contenus sensibles sur le cloud. Le simple fait qu’un tel bug puisse exister doit inciter tout le monde à faire attention à son hygiène numérique.

Source : Google

Et vous ?

Qu’en pensez-vous ?
Quelle est votre expérience avec les services sur le cloud ?

Voir aussi :

Les plateformes Cloud sont-elles matures ? Les services Cloud de Google, LinkedIn et Microsoft tombent en panne
Une nouvelle poursuite judiciaire enclenchée par Facebook rappelle Cambridge Analytica, suite à la mauvaise utilisation des données
Des entreprises de technologie suppriment les preuves de crimes de guerre mises en ligne, et les gouvernements veulent qu'elles en fassent davantage
Les violations de données signalées sont en hausse de plus de 56% au premier trimestre, d'après un rapport

[archqt]

Je me demandais pourquoi j'avais reçu, non seulement la conception du bébé de Nabilla, mais aussi l'accouchement qu'elle a filmé (les gars/les filles je vais être riche, je le sais je lis sur les lèvres).
Après cet élément graveleux, c'est quand même assez grave, ce qui veut dire que des personnes ont reçues des vidéos privées.

Comme quoi le Cloud, faut éviter.

[sergio_is_back]

Comme quoi le Cloud, faut éviter.

C'est ce je pense depuis longtemps...

[el_slapper]

faut éviter pour les contenus qui doivent rester en mains propres. Pour du contenu anodin, ça marche très bien.

[Ryu2000]

« Malheureusement, pendant cette période, certaines de vos vidéos dans Google Photos ont été exportées de façon incorrecte dans les archives d’utilisateurs sans rapport avec vous. Une ou plusieurs des vidéos de votre compte Google Photos ont été affectées par ce problème », écrit le géant de la filière technologique.

Ce sont des choses qui arrivent.


C'est toujours moins grave que ça :
Apple et le FBI enquêtent activement sur le piratage d’iCloud qui aurait entraîné la publication de photos de célébrités nues
Snapchat : plus de 100 000 photos piratées et publiées sur la toile, la société nie toute responsabilité et incrimine les utilisateurs

[CS FS]

Je me demandais pourquoi j'avais reçu, non seulement la conception du bébé de Nabilla, mais aussi l'accouchement qu'elle a filmé.

[Troll]Non mais ça tout le monde l'a reçu ; elle l'a posté sur Twitter et Instagram, comme tout le reste de sa vie.[/troll]

[Paul_Le_Heros]

Le coud, ça a toujours été nébuleux ! Il en va du cloud comme des réseaux sociaux.

@el_slapper : Par quoi sont / étaient intéressés les gars des services d’espionnage, à l’est (pour le moins) ? Que des choses anodines.

Ça m’inspire la publicité : si on n’accepte vraiment pas d’être aliéné, il faut éteindre, ou sans aller, ou couper le son pour le moins… éviter coûte-que-coûte.