Gmail : des développeurs tiers ont peut-être déjà lu vos emails (MAJ)

La chose est visiblement une pratique courante depuis des années, mais elle pourrait – à l’instar de l’affaire Cambridge Analytica – être le berceau d’un nouveau scandale touchant à l’épineuse question du respect de la vie privée… et surprise, après Facebook en début d’année, c’est Google qui pourrait cette fois se retrouver dans l’œil du cyclone.

Une enquête publiée hier par le Wall Street Journal – reprise dans la foulée par The Verge – révèle en effet que des développeurs d’applications et des services tiers peuvent – s’ils en ont été jugés dignes par la firme de Mountain View – obtenir un accès total aux emails de millions d’utilisateurs de Gmail, le service de messagerie du géant californien. Sur fond de politiques de confidentialité parfois troubles et de demandes d’autorisation manquant de transparence, la découverte du Wall Street Journal ne manque pas de piquant.

Les développeurs tiers de certaines applications peuvent théoriquement lire les mails de millions d’utilisateurs de Gmail rapporte le Wall Street Journal dans une enquête publiée hier.

De manière concrète, les paramètres d’accès à Gmail peuvent autoriser certains développeurs d’applications, mais aussi certaines sociétés de traitement de données, à avoir un droit de regard sur le contenu des emails en eux-mêmes, sur les dates et heures d’envoi de ces messages, ainsi que sur les adresses email de leurs destinataires. Et si une autorisation est bel et bien demandée à l’utilisateur, cette dernière ne spécifie pas de manière claire si l’ensemble de ces informations et contenus est traité par des machines… ou par des humains.

Des humains consultent bien – dans certains cas – vos emails

Interrogé par The Verge, Google indiquait hier que l’accès aux comptes Gmail n’était pas accordé à n’importe qui. La firme explique notamment n’autoriser cet accès qu’à des services ayant préalablement montré patte blanche. Un protocole permettant à Google de séparer le bon grain de l’ivraie est d’ailleurs en place. Le groupe indique en outre avoir déjà recalé certaines demandes de développeurs tiers, sans spécifier à The Verge combien de candidatures avaient ainsi été refusées.

Reste la grande question de qui consulte les mails des utilisateurs et dans quel cadre. Le média américain apporte une réponse claire : des humains en chair et en os peuvent lire les échanges des usagers de Gmail. Il s’agit “dans des cas très spécifiques” d’employés de Google, notamment “lorsque vous nous le demandez et que vous nous donnez votre permission, ou quand cela est nécessaire pour des raisons de sécurité, comme identifier un bug ou un abus“, détaille la firme ; mais aussi d’employés de sociétés qui se sont vu ouvrir les portes de Gmail. Elles seraient nombreuses selon The Verge.

Le média rapporte ainsi que des services connus tels que Salesforce ou Microsoft Office ont obtenu ce sésame, mais que des plateformes de messagerie nettement moins en vue l’ont également décroché, au même titre que des compagnies telles que Return Path ou Edison Software.

Contactées l’une comme l’autre par le WSJ, ces deux sociétés expliquent que des ingénieurs ont effectivement été amenés à consulter plusieurs centaines à plusieurs milliers d’emails, en vue d’entraîner les algorithmes à traiter correctement les données. Si cette pratique est bien mentionnée dans les politiques de confidentialité de Return Path et Edison Software, il n’est pas explicitement précisé qu’un humain (et non une machine) peut lire les emails.

La question de la sécurité est posée

Bien qu’aucun élément ne pointe vers une utilisation malhonnête ou inappropriée des données laissées en libre accès à certains services, autoriser des développeurs à consulter des conversations privées laisse songeur d’un point de vue éthique et fait planer un doute quant aux éventuelles failles de sécurité induites par ce genre d’autorisations.

Difficile en effet de savoir à quel point le système de Google est sûr. Comme le rappelle The Verge, de nombreux utilisateurs des services de la firme étaient victimes – l’année dernière – d’une attaque de phishing de grande ampleur. En se faisant passer pour une demande d’autorisation de Google Docs, cette dernière obtenait d’utilisateurs peu attentifs un accès complet à leurs contacts. Google indique avoir fait de gros progrès en matière de prévention de ce type d’attaques, mais l’inventivité des pirates rend bien souvent éphémères les mesures mises en place par les géants de la Tech, visant à limiter les risques d’hameçonnage et de hacking.

Si vous souhaitez vérifier les autorisations que vous avez accordées ou si vous désirez révoquer des applications, n’hésitez pas à vous rendre sur cette page.

MAJ : Edison Software a répondu à The Verge au sujet de la consultation, par certains de ses employés, des emails d’utilisateurs de Gmail. Voici la déclaration de l’entreprise : “Nous avons depuis mis un terme à cette pratique et avons supprimé toutes ces données en vue de rester cohérents avec l’engagement de notre compagnie à maintenir les plus hauts standards de respect de la vie privée“.

Si vous avez déjà vu ces demandes d’autorisations, il y a de bonnes chances pour que vos mails soient libres d’accès chez certains développeurs.