Google resserre les règles relatives aux autorisations des application
Google resserre les règles relatives aux autorisations des application

Google resserre les règles relatives aux autorisations des application

Google contrôle 

Google a annoncé cette semaine un meilleur contrôle des utilisateurs sur les données partagées avec les applications, des autorisations d’application repensées et un accès réduit des applications aux informations sensibles telles que les contacts, les SMS et le téléphone.

Les changements, selon le géant de la recherche, sont déployés dans le cadre du projet Strobe , qui représente un examen global de l’accès des développeurs tiers aux comptes Google et aux données des appareils Android. L’idée était de jeter un œil aux contrôles de confidentialité, aux problèmes de confidentialité des données et à l’accès dont bénéficient les développeurs, et de faire des ajustements si nécessaire.

Le premier et le plus important changement résultant du projet Strobe est la fermeture de Google+ pour les consommateurs en août 2019. Ce n’est pas surprenant, étant donné la faible utilisation et l’engagement de la plate-forme sociale en ce moment, avec 90% des sessions utilisateur Google+ d’une durée inférieure à cinq secondes.

Lors de l’examen des API Google+, Google a découvert un bougue  dans l’une des API , où les applications pouvaient accéder aux champs de profil de l’utilisateur qui n’étaient pas rendus publics.

Ces données incluent des champs de profil Google+ facultatifs tels que le nom, l’adresse e-mail, la profession, le sexe et l’âge, mais n’incluent pas les messages, messages, données de compte Google, numéros de téléphone ou contenu G Suite Google+. L’API défectueuse a apparemment été utilisée par jusqu’à 438 applications et le bogue a été corrigé en mars.

«Nous avons créé Google+ en gardant à l’esprit la confidentialité et nous conservons donc les données de journal de cette API pendant seulement deux semaines. Cela signifie que nous ne pouvons pas confirmer quels utilisateurs ont été touchés par ce bogue. Cependant, nous avons effectué une analyse détaillée au cours des deux semaines précédant la correction du bogue, et à partir de cette analyse, les profils de jusqu’à  500 000 comptes Google+ étaient potentiellement affectés », explique Google.

La société affirme également n’avoir aucune preuve que les développeurs sont conscients de la faille de sécurité dans ladite API. Il n’y a aucune preuve non plus d’une mauvaise utilisation des données de profil, note le géant de l’Internet.

« L’examen a mis en évidence les défis importants dans la création et le maintien d’un Google+ réussi qui répond aux attentes des consommateurs. Face à ces défis et à la très faible utilisation de la version grand public de Google+, nous avons décidé de supprimer la version grand public de Google+ », souligne  Google .

 project Strobe

Un autre résultat de Project Strobe est le déploiement d’une amélioration de l’infrastructure API de Google, qui commence par afficher séparément chaque autorisation demandée par une application. Fondamentalement, chaque autorisation aura son propre dialogue, afin que les utilisateurs puissent les autoriser ou les refuser individuellement.

Ainsi, les développeurs sont invités à consulter les service Google API : politique de données utilisateur , vérifier les autorisations que l’utilisateur a accordées à leurs applications, demander des autorisations uniquement lorsqu’elles sont nécessaires et fournir une justification avant de demander l’accès.

Les changements, révèle Google , commenceront à être déployés ce mois-ci et seront étendus aux clients existants début 2019. Le géant de l’Internet s’attend à ce que la décision augmente la transparence et la confiance dans son écosystème d’applications.

Google met également à jour sa politique de données utilisateur pour l’API Gmail grand public afin de limiter les applications qui peuvent demander l’autorisation d’accéder aux données Gmail grand public. Ainsi, seuls les clients de messagerie, les services de sauvegarde des e-mails et les services de productivité seront autorisés à accéder à ces données.

nouvelles règles sur le traitement des données Gmail

Ces applications devront également accepter de nouvelles règles sur le traitement des données Gmail et feront également l’objet d’évaluations de sécurité, selon la société. Définies pour entrer en vigueur le 9 janvier 2019, les nouvelles politiques ciblent la manière dont les données ne doivent pas être utilisées, comment elles doivent être sécurisées et quelles données sont accessibles.

Evaluation de l’application

« Toutes les applications accédant aux API Gmail couvertes devront soumettre une évaluation de l’application à partir du 9 janvier 2019. Si une évaluation n’est pas soumise avant le 15 février 2019, les nouvelles autorisations des comptes de consommateurs Google seront désactivées après le 22 février 2019. et toutes les subventions existantes seront révoquées après le 31 mars 2019 », a déclaré Google .

Limitation des autorisation 

Le géant de la recherche limite également la capacité des applications à recevoir le journal des appels et les autorisations SMS sur les appareils Android, de sorte que seules les applications qui ont été définies comme applications par défaut pour passer des appels ou envoyer des SMS pourraient faire ces demandes. De plus, les données d’interaction des contacts ne sont plus disponibles via l’API Android Contacts, explique la société.

Sécurisée les données est notre objectif

«Notre objectif est de prendre en charge un large éventail d’applications utiles, tout en garantissant que chacun est sûr que ses données sont sécurisées. En donnant aux développeurs des règles de conduite plus explicites et en aidant les utilisateurs à contrôler vos données, nous pouvons nous assurer que nous continuons de le faire », conclut Google.