Testez maintenant vos connaissances en SEO, moteurs de recherche et en référencement

Les internautes qui ont installé Google Desktop sur leur machine ont-ils frôlé la catastrophe? C'est ce que laisse entendre Watchfire Corp au détour d'une dépêche d'Associated Press. Cette société de sécurité IT a décelé en début d'année une faille de sécurité importante dans l'outil d'indexation de Google.

Lancé en 2004 et utilisé par des millions de personnes, Google Desktop permet d'indexer l'ensemble des documents (comme les textes ou les mails) stockés sur le disque dur local (ou d'un ensemble de machines en réseau) afin d'accélérer et de faciliter la recherche de contenus par l'utilisateur. Si l'outil propose une interface de recherche locale, il permet également d'effectuer des requêtes en ligne.

Selon Watchfire, c'est cette proximité entre le disque dur local et le réseau mondial qui pose problème. Une faille de type "cross-site scripting" (XSS) aurait permis à un attaquant de placer un code malicieux afin d'espionner ou prendre le contrôle de l'ordinateur de la victime.

Watchfire déclare qu'il a fait part de sa découverte à Google le 4 janvier 2007. La vulnérabilité a été comblée le 1er février. De son côté, Google déclare ne pas avoir été alerté par l'exploitation éventuelle de la faille, toujours selon l'agence de presse. Il n'en reste pas moins que d'autres vulnérabilités peuvent se reproduire. Au risque d'exposer une nouvelle fois les données des utilisateurs aux pirates. Une aubaine pour les éditeurs de solutions antivirales.

Les défenseurs de la vie privée fustigent Google Desktop 3 Une association de défense des libertés sur l'Internet appelle au boycott de la fonction de recherche de documents sur plusieurs PC. La dernière version de Google Desktop n'est pas du goût de l'Electronic Frontier Foundation (EFF) et de l'éditeur de logiciels de sécurité Kapsersky Labs. Selon l'association à but non lucratif de défense des libertés civiles sur l'Internet, l'application propose une fonction, baptisée "Search Across Computers", qui "augmente considérablement les risques de violation de la vie privée des consommateurs". Elle invite donc ces derniers à ne pas l'utiliser. L'une des principales nouveautés de Google Desktop 3, lancé en version bêta, est en effet la possibilité de rechercher des documents (fichiers texte, PDF, feuilles de calcul...) stockés sur tout ordinateur de l'utilisateur. Pour permettre cette fonction, l'application doit effectuer des copies temporaires de tous les documents concernés sur un serveur de Google. Un "guichet unique" pour les pirates informatiques Pour les experts en sécurité de Kaspersky Labs, des pirates informatiques risquent désormais de tenter d'obtenir les mots de passe des comptes Google des utilisateurs via des méthodes de phishing. "Si un pirate parvient à obtenir les informations de connexion à votre compte Google, il aura accès à vos fichiers confidentiels", prévient l'éditeur, qui conseille également de ne pas utiliser cette technologie. L'EFF souligne également qu'un dépôt centralisé des fichiers mettrait Google à la merci d'éventuelles assignations de la part du gouvernement américain ou de sociétés privées et constituerait un "guichet unique" pour des hackers ayant obtenu le mot de passe d'un utilisateur. Les craintes de l'EFF ne sont pas dénuées de fondements : le mois dernier, le gouvernement américain a demandé à Google de lui fournir des informations sur les requêtes des internautes, une réclamation à laquelle le moteur de recherche a refusé de se plier. Plus simple qu'un mandat de perquisition "Compte tenu des inquiétudes actuelles des consommateurs vis-à-vis des investigations du gouvernement dans les logs de Google, il est choquant de voir le moteur de recherche inviter ses utilisateurs à lui confier le contenu de leurs ordinateurs personnels", a déclaré l'avocat de l'EFF, Kevin Bankston. "Google possèdera une copie de votre déclaration de revenus, de vos lettres d'amour, de vos sauvegardes professionnelles, de vos dossiers financiers et médicaux, ainsi que de tous les documents au format texte que Google Desktop pourra indexer." "Le gouvernement [américain] pourra alors exiger ces fichiers personnels au moyen d'une simple assignation, au lieu du mandat de perquisition qui aurait été nécessaire pour obtenir les mêmes éléments à votre domicile ou votre bureau, et dans bien des cas vous ne serez même pas prévenu à temps pour vous y opposer. D'autres plaignants - votre conjoint, vos partenaires ou adversaires commerciaux, n'importe qui - pourraient également essayer de sommer Google de leur fournir vos documents", prévient l'avocat. Pour l'EFF, cette application met en lumière les lacunes des lois actuelles sur la protection de la vie privée. L'association a ainsi appelé Google à exercer une pression sur le Congrès américain afin de revoir la législation en ce domaine. Une fonction inactive par défaut Une représentante de Google a indiqué que "le respect de la vie privée [avait] été sérieusement pris en considération lors du développement de cette fonction". Elle rappelle que celle-ci est, par défaut, inactive lors de l'installation du logiciel et que les utilisateurs doivent l'activer sur chacun des ordinateurs concernés. De plus, les données ne sont stockées que provisoirement sur les serveurs de Google et de façon permanente sur les disques durs locaux des utilisateurs.

Consultez également les archives de notre newsletter