Les développeurs d’applications tierces peuvent lire les courriels de millions d’utilisateurs de Gmail, un rapport du Wall Street Journal mis en évidence aujourd’hui. Les paramètres d’accès de Gmail permettent aux sociétés de données et aux développeurs d’applications de consulter les courriels des utilisateurs et d’afficher les détails privés, y compris les adresses des destinataires, les horodatages et les messages entiers. Et, même si ces applications nécessitent le consentement de l’utilisateur, le formulaire de consentement n’est pas tout à fait clair : il permettrait aux humains – et pas seulement aux ordinateurs – de lire vos courriels.
Google a déclaré qu’il ne donnait que des données à des développeurs tiers approuvés et avec le consentement explicite des utilisateurs. Le processus de vérification consiste à vérifier si l’identité d’une entreprise est correctement représentée par son application, sa politique de confidentialité stipule qu’il surveillera les courriels, et les données que l’entreprise demande ont un sens pour ce que l’entreprise fait. Une application de messagerie, par exemple, devrait avoir accès à Gmail. Certains développeurs ont demandé l’accès à Gmail mais n’ont pas obtenu d’autorisation, bien que la société ne précise pas le nombre.
Il y a de fortes chances que vous ayez déjà vu cette boîte de permissions
Les employés de Google peuvent également lire des courriels, mais seulement dans « des cas très spécifiques où vous nous demandez et donnez votre consentement, ou pour des raisons de sécurité, comme enquêter sur un bug ou un abus », a déclaré l’entreprise au WSJ.
Pourtant, il est clair qu’il y a beaucoup d’applications avec cet accès, de Salesforce et Microsoft Office à des applications de courrier électronique moins connues. Si vous avez déjà vu une demande comme celle-ci lors de la saisie de votre compte Gmail dans une application, il est possible que vous ayez autorisé l’application à lire vos e-mails. Et, comme l’indique WSJ, d’autres services de messagerie autres que Gmail offrent aux applications tierces un accès similaire, donc ce n’est pas seulement Google qui peut avoir ces problèmes.
Certaines de ces entreprises « de confiance » incluent les sociétés de gestion de messagerie Return Path et Edison Software, qui ont eu l’occasion par le passé d’accéder à des milliers de comptes de messagerie. Le WSJ a parlé aux deux entreprises, qui ont dit avoir des ingénieurs humains voir des centaines à des milliers de messages électroniques afin de former des algorithmes de machine pour gérer les données. Les politiques de confidentialité de Return Path et d’Edison Software mentionnent que les entreprises surveilleront les courriels. Pourtant, ils ne mentionnent pas que les ingénieurs humains et pas seulement les machines ont accès.
La situation rappelle les conditions qui ont conduit au fiasco de partage de données de Cambridge Analytica de Facebook : une pratique courante depuis des années – permettant aux applications tierces d’accéder aux données Facebook – a finalement été abusée et soumise à l’examen du gouvernement et du public.
Bien qu’il n’y ait aucune preuve d’utilisation abusive des données, la possibilité de lire des courriels privés semble problématique.
Bien qu’il n’y ait aucune preuve que les développeurs de modules complémentaires Gmail tiers aient mal utilisé les données, le simple fait d’être en mesure d’afficher et de lire des courriels privés semble devoir franchir une limite de confidentialité. Et, la sécurité de ce système n’est pas claire. l’année dernière, les utilisateurs de Google ont été victimes d’une attaque de phishing qui s’est déguisée en une demande d’autorisation de Google Docs pour accéder aux contacts des utilisateurs en utilisant le même système d’autorisation. Alors que Google dit qu’il a fait un tas d’améliorations depuis lors, l’attaque a mis en évidence les vulnérabilités du système d’autorisations de Google.
Nous avons contacté Return Path, Edison Software et d’autres applications tierces populaires pour plus d’informations. Si vous voulez voir quelles applications ont des autorisations sur votre compte Gmail et révoquer celles que vous n’utilisez plus ou qui vous paraissent suspectes, cliquez ici.