Form(idable)
Google Forms est un outil du géant du Net afin de créer et partager des formulaires et des enquêtes en ligne, puis d’analyser « les réponses en temps réel ». Si on ne fait pas attention, on peut aussi se retrouver avec une fuite de données sur les bras… également en « temps réel ». Club France vient d’en faire les frais, une histoire qui rappelle l’importance de bien vérifier sa configuration.
Alors que les JO 2024 de Paris se préparent activement, notre confrère Adrien Lachet (20 minutes) vient de faire état d’une fuite de données sur un formulaire d’accréditations pour les médias. Il permet de demander un accès au Club France. Il s’agit du « lieu où tous les athlètes français médaillés seront célébrés », selon le site officiel.
Emails, téléphones, CNI… demandez le programme
« Le Google Form est complètement pété, on peut voir les réponses des autres journalistes et accéder aux données ! (numéro de téléphone, CNI, etc.) », explique-t-il, captures d’écran à l’appui. Son message a été mis en ligne à 11h48. Le formulaire a ensuite supprimé à 12h30, toujours selon ses messages sur X.
Le formulaire affichait alors des données personnelles d’une trentaine de journalistes, avec des documents supplémentaires. Mais, heureusement, « les pièces jointes partagées étaient impossibles à récupérer, il fallait avoir un accès Drive supplémentaire, donc pas de panique de ce côté-là ! », ajoute notre confrère.
Amis journalistes attention ! !
— Adrien Lct (@AdLachet) May 28, 2024
Si vous faites des demandes d'accréditations médias au Club France pour les JO 2024, le Google Form est complètement pété, on peut voir les réponses des autres journalistes et accéder aux données ! (numéro de téléphone, CNI, etc.) pic.twitter.com/AOelRiMLcJ
Problème technique vs problème de configuration
Peu après 15h, le compte officiel FranceOlympique répond que « le problème technique a été résolu » et s’excuse « pour la gêne occasionnée ». Aucune explication n’est donnée sur les causes de cet « incident technique », qui ressemble bien plus à un problème de configuration.
En effet, quand on crée un formulaire, il y a une option importante dans les paramètres du formulaire : « Afficher un résumé des résultats. Partagez le résumé des résultats avec les personnes interrogées ». Si elle est activée, un lien est proposé après avoir répondu afin d’« afficher les réponses précédentes ».
Dans le cas contraire, un message indique que « le résumé des réponses à ce formulaire n’a pas été publié ». C’est d’ailleurs le message renvoyé par le formulaire actuel. Dans ce genre de cas, il ne s’agit pas d’une faille de Google Forms, mais bien d’un problème de l’interface entre la chaise et le clavier.
Ce n’est pas la première fois que la question des risques liés à la configuration est soulevée pour Google Forms. On est gentil, on ne parle même pas des questions de souveraineté que soulève l’utilisation d’outils Google dans ce genre de situation.
Que le problème vienne ou non de ce paramètre, il s’agit très certainement d’un problème de configuration (et non d’un problème technique, comme indiqué sur X). Cette histoire rappelle, une fois de plus, l’importance de bien vérifier une configuration avant de publier quoi que ce soit sur Internet. Et n’allez pas croire que cela n’arrive qu’aux autres.
Un cas non isolé : vérifiez vos configurations !
On se souvient par exemple des questions de visibilité des conversations dans Google Groups. Pas toujours comprises par les créateurs, elles peuvent entrainer des fuites d’informations personnelles. On peut également citer des milliers de bases de données MongoDB ouvertes aux quatre vents. Là encore, une configuration des plus douteuses en est la cause.
Les exemples sont probablement nombreux, faites-nous part de vos expériences dans les commentaires.