[ad_1]
« Une mise à jour de sécurité sera appliquée à Drive », lit-on dans le nouvel e-mail étrange de Google. Un tas d’entre nous, dans l’équipe d’Ars Technica, s’est fait exploser hier soir. Si vous visitez drive.google.com, vous verrez également un message indiquant : « Le 13 septembre 2021, une mise à jour de sécurité sera appliquée à certains de vos fichiers ». Vous pouvez même voir une liste des fichiers concernés, qui ont tous reçu une « mise à jour de sécurité » non spécifiée. Donc de quoi est-il question?
Google change la façon dont le partage de contenu fonctionne sur Drive. Les fichiers Drive ont deux options de partage : une liste d’autorisation pour une seule personne (où vous partagez un document Google avec des comptes Google spécifiques) et une option « obtenir le lien » (où toute personne disposant du lien peut accéder au fichier). L’option « obtenir le lien » fonctionne de la même manière que les vidéos YouTube non répertoriées – ce n’est pas vraiment privé mais, théoriquement, pas tout à fait public non plus, car le lien doit être rendu public quelque part. Les liens de partage secrets ne sont en réalité que la sécurité par l’obscurité, et il s’avère que les liens sont en fait devinables.
Parallèlement à Drive, Google modifie également le fonctionnement des liens YouTube non répertoriés, et la page d’assistance YouTube décrit en fait ce changement mieux que Drive :
En 2017, nous avons déployé une mise à jour du système qui génère de nouveaux liens YouTube non répertoriés, qui incluaient des améliorations de sécurité qui rendent les liens de vos vidéos non répertoriées encore plus difficiles à découvrir si vous n’avez pas partagé le lien avec eux.
Google connaissait le problème des liens secrets devinables depuis un certain temps et a changé le fonctionnement de la génération de liens en 2017 (vraisemblablement pour Drive aussi ?). Bien sûr, cela n’affecte pas les liens que vous avez partagés dans le passé, et bientôt Google va exiger que vos anciens liens changent, ce qui peut les casser. Le nouveau schéma de liens de Google ajoute une « clé de ressource » à la fin de tous les liens Drive partagés, ce qui les rend plus difficiles à deviner. Ainsi, un lien qui ressemblait auparavant à « https://drive.google.com/file/d/0BxI1YpjkbX0OZ0prTHYyQ1U2djQ/ » ressemblera désormais à « https://drive.google.com/file/d/0BxI1YpjkbX0OZ0prTHYyQ1U2djQ/view ?ressourcekey=0-OsOHHiQFk1QEw6vIyh8v_w. » La clé de ressource rend la devinette plus difficile.
Si vous vous rendez sur drive.google.com/drive/update-drives dans un navigateur, vous devriez pouvoir voir une liste de vos fichiers concernés, et si vous passez la souris dessus, vous verrez un bouton sur la droite pour supprimer ou appliquer la mise à jour de sécurité. « Applied » signifie que la clé de ressource sera requise après le 13 septembre 2021 et rompra (principalement) l’ancien lien, tandis que « supprimé » signifie que la clé de ressource n’est pas requise et que tous les liens devraient continuer à fonctionner.
YouTube a déjà suivi ce processus plus tôt dans le mois, tous les liens non répertoriés avant 2017 étant morts, à moins que les propriétaires des vidéos ne soient toujours actifs sur YouTube et se soient désabonnés. Drive le fait avec un peu plus de finesse que YouTube, cependant. Grâce au partage basé sur le compte, toute personne ayant accédé à vos liens Drive non répertoriés par le passé encore y avoir accès, même si vous améliorez la sécurité. Cependant, aucune nouvelle personne ne pourra accéder à l’ancien lien mis à niveau. De cette façon, si vous avez une communauté stable qui utilise un fichier non répertorié, elle devrait surtout pouvoir continuer à faire du camionnage. Cependant, tout nouveau membre sera bloqué et devra demander l’accès. Si vous ne le souhaitez pas, le propriétaire du fichier peut à tout moment cliquer sur le bouton « Partager » et modifier les paramètres pour générer un nouveau lien ou désactiver complètement le lien.
Ne pas laisser des tiers créer une liste de tous vos fichiers non répertoriés est une bonne chose, mais ne confondez pas ce changement de lien avec une sécurité réelle. Vous ne devez jamais partager quoi que ce soit sur les fonctionnalités « non répertoriées » ou « obtenir un lien » sur YouTube, Drive ou Google Photos si vous souhaitez réellement que cela soit privé. Les liens secrets ne sont que la sécurité par l’obscurité, et même avec les mises à niveau de Google, ils ne doivent pas être considérés comme sécurisés ou introuvables. Cet arrangement convient parfaitement aux documents occasionnels, mais supposez toujours que n’importe qui dans le monde peut lire un fichier « non répertorié ». Si vous êtes d’accord avec ça, très bien. Mais sinon, utilisez les options de partage basées sur un compte privé de Google.
[ad_2]