Des documents privés Google Docs fuitent sur Yandex

Des documents internes rédigés sur Google Docs concernant notamment la banque russe Tinkoff Bank auraient été référencés par le moteur de recherche Yandex. Appuyant la sécurité de son outil d’édition et de collaboration documentaire en ligne, Google pointe indirectement du doigt un problème de paramétrage des règles de confidentialité.

Parmi les documents Google Docs qui auraient été indexés par le moteur de recherche russe Yandex, on trouve notamment un fichier interne de Tinkoff Bank dans lequel est indiqué l’interdiction d’embaucher des candidats en fonction de leurs orientations sexuelles, races et professions. (crédit : D.R.)

Faille de sécurité, référencement abusif ou simple mauvais paramétrage de confidentialité ? Difficile pour l’heure d’avoir une certitude concernant l’affaire du référencement sur Yandex de plusieurs fichiers internes d’entreprises russes conservés dans Google Docs. Le 4 juillet, des utilisateurs ont fait remonter au moteur de recherche russe que d’étranges résultats étaient référencés, à savoir des documents privés dont un fichier semblant provenir de la banque russe Tinkoff Bank. Dans ce fichier, des instructions pour le moins compromettantes étaient indiquées comme l’interdiction d’embaucher des candidats en fonction de « leurs orientations sexuelles, races et professions ». Sans surprise, l’établissement a bien sûr nié l’existence d’un tel document au sein de son organisation. « Non, bien sûr, il n’y a pas de tels documents dans notre organisation. Nous recrutons tous ceux qui peuvent travailler efficacement à l’endroit où ils postulent. Dans le groupe Tinkoff les employés de toutes races, orientations sexuelles, âges et religions travaillent, y compris ceux indiqués dans ce texte », a indiqué un porte-parole de la banque.

Les documents rédigés sous Google Docs ont été référencés par Yandex dans la soirée du 4 juillet, avant de mystérieusement disparaître quelques heures plus tard, vers 1 heure du matin le 5 juillet. Yandex a expliqué que le référencement de tels documents n’est pas lié aux particularités de son moteur de recherche et qu’il indexe uniquement la partie ouverte de l’Internet : « Yandex indexe uniquement la partie ouverte d’Internet, c’est-à-dire les pages accessibles par lien hypertexte sans login ni mot de passe. Yandex n’indexe pas les sites Web dont les administrateurs ont ajouté la norme d’exclusion des robots, même si ces sites sont ouvertement accessibles. Mercredi soir, les internautes ont porté plainte auprès de notre service d’assistance à propos d’un problème d’accessibilité des fichiers sur le site docs.google.com. Notre équipe de sécurité est maintenant en contact avec nos collègues de Google, pour attirer leur attention sur le fait que ces fichiers peuvent contenir des informations privées ».

Un précédent de référencement de pages privées par Yandex

De son côté, Google a publié un billet dans lequel il rejette indirectement la faute à un défaut de bon paramétrage de confidentialité : « Protéger et protéger les informations personnelles des utilisateurs est notre priorité absolue. Google Docs est un outil de collaboration hautement sécurisé et fonctionne correctement. Les moteurs de recherche peuvent seulement indexer des documents qui ont été intentionnellement faits par leurs propriétaires, ou quand quelqu’un publie un lien vers un document dont le propriétaire a rendu disponible pour la recherche et la navigation à tout le monde sur Internet. Vous pouvez toujours modifier les paramètres d’accès pour vos fichiers et définir des restrictions, qui sont disponibles pour l’affichage, les commentaires ou l’édition pour les utilisateurs sélectionnés. »

Dans cette affaire, Google et Yandex veulent montrer patte blanche. Mais ce dernier n’est peut être pas si exempt de reproche que cela. C’est en tout cas ce que rapporte Meduza, le journal letton dirigé par Galina Timchenko évincé du journal Lenta.ru par l’oligarche russe Alexander Mamut, proche de Vladimir Poutin. « Il y a une histoire derrière les préoccupations à propos du moteur Yandex. En 2015, les internautes ont découvert que Yandex Browser transmettait les données d’historique Web des utilisateurs aux serveurs de Yandex. Ces liens hypertexte ont ensuite atterri dans une base de données indexée par les robots d’exploration web de la société. En conséquence, Yandex a même indexé les hyperliens que les utilisateurs avaient visités en privé, et a pu accéder à des sites web sans les mots de passe des utilisateurs. Théoriquement, ces pages privées (accessibles uniquement par lien hypertexte direct) auraient pu apparaître dans les résultats de recherche de Yandex, mais cela ne s’est pas produit alors. La société a publié une déclaration affirmant que son robot avait obtenu par erreur l’accès aux historiques de recherche du navigateur Yandex, et que cela ne se reproduirait plus. »

Questionné par Meduza pour savoir si oui ou non les fichiers indexés par son moteur de recherche pourraient provenir de son navigateur ou des utilisateurs de Yandex Mail ouvrant ou partageant des hyperliens directs vers du contenu sur Google Docs, Yandex n’a pas répondu.

chevron_left
chevron_right