Mise à jour des consignes relatives à l'identité des développeurs et des processus d'enregistrement en vue de protéger les utilisateurs
Tuesday, May 23, 2017
(Traduction d'un article extrait du blog G Suite Developers)
Publié par Naveen Agarwal, équipe Google Identity
Nous avons récemment pris des mesures à effet immédiat visant à protéger les utilisateurs d'une attaque de type hameçonnage qui tentait de contourner l'infrastructure d'autorisation OAuth.
Nous apportons des améliorations supplémentaires aujourd'hui afin d'éviter que ce type de problème ne se reproduise à l'avenir. Ces changements sont susceptibles de compliquer quelque peu la procédure de publication des applications Web, laquelle pourra demander un peu plus de temps. Nous vous recommandons donc d'en tenir compte dans votre travail.
Mise à jour des consignes relatives aux noms des applications
Conformément à notre règlement sur les données utilisateur des API Google, les applications ne doivent pas induire les utilisateurs en erreur. Par exemple, leur nom doit être unique et ne doit pas plagier celui d'autres applications.
Afin de faciliter l'application de ce règlement et de favoriser la détection des noms d'applications trompeurs ou usurpés, nous modifions notre processus de publication des applications, nos systèmes d'évaluation des risques et la page relative aux autorisations d'accès destinée aux utilisateurs. Suite à ce changement, un message d'erreur pourra s'afficher lorsque vous enregistrerez de nouvelles applications ou lorsque vous modifierez les attributs d'applications existantes dans la console API de Google, la console Firebase ou l'éditeur Apps Script.
Nouveaux processus de vérification et nouvelles restrictions sur les demandes d'accès aux données utilisateur par les applications Web
Nous avons également amélioré notre système d'évaluation des risques pour les nouvelles applications Web qui requièrent un accès aux données utilisateur.
Selon ce système, la demande de certaines applications Web devra être vérifiée manuellement. Tant que cette vérification n'aura pas été faite, les utilisateurs ne seront pas en mesure d'accepter les demandes d'autorisation d'accès aux données, et un message d'erreur s'affichera en lieu et place de la page d'autorisation d'accès habituelle. Afin de rendre l'application accessible à tous, vous pouvez demander une vérification pendant sa phase de test. Nous ferons notre possible pour procéder à ces vérifications dans un délai de trois à sept jours ouvrés. Plus tard, les demandes de vérification seront également possibles pendant la phase d'enregistrement.
Vous pouvez continuer à utiliser votre application à des fins de test avant son approbation en vous connectant à la console API de Google avec un compte d'éditeur/de propriétaire du projet. Vous pourrez ainsi ajouter des testeurs et lancer le processus de vérification.
Nous invitons également les développeurs à prendre connaissance de notre précédent post sur les responsabilités qui sont les leurs lorsqu'ils demandent un accès aux données utilisateur via leurs applications. Nos équipes continueront de mettre tout en œuvre pour assurer un environnement de développement qui garantisse la sécurité des utilisateurs et de leurs données.
Publié par Naveen Agarwal, équipe Google Identity
Nous avons récemment pris des mesures à effet immédiat visant à protéger les utilisateurs d'une attaque de type hameçonnage qui tentait de contourner l'infrastructure d'autorisation OAuth.
Nous apportons des améliorations supplémentaires aujourd'hui afin d'éviter que ce type de problème ne se reproduise à l'avenir. Ces changements sont susceptibles de compliquer quelque peu la procédure de publication des applications Web, laquelle pourra demander un peu plus de temps. Nous vous recommandons donc d'en tenir compte dans votre travail.
Mise à jour des consignes relatives aux noms des applications
Conformément à notre règlement sur les données utilisateur des API Google, les applications ne doivent pas induire les utilisateurs en erreur. Par exemple, leur nom doit être unique et ne doit pas plagier celui d'autres applications.
Afin de faciliter l'application de ce règlement et de favoriser la détection des noms d'applications trompeurs ou usurpés, nous modifions notre processus de publication des applications, nos systèmes d'évaluation des risques et la page relative aux autorisations d'accès destinée aux utilisateurs. Suite à ce changement, un message d'erreur pourra s'afficher lorsque vous enregistrerez de nouvelles applications ou lorsque vous modifierez les attributs d'applications existantes dans la console API de Google, la console Firebase ou l'éditeur Apps Script.
Nouveaux processus de vérification et nouvelles restrictions sur les demandes d'accès aux données utilisateur par les applications Web
Nous avons également amélioré notre système d'évaluation des risques pour les nouvelles applications Web qui requièrent un accès aux données utilisateur.
Selon ce système, la demande de certaines applications Web devra être vérifiée manuellement. Tant que cette vérification n'aura pas été faite, les utilisateurs ne seront pas en mesure d'accepter les demandes d'autorisation d'accès aux données, et un message d'erreur s'affichera en lieu et place de la page d'autorisation d'accès habituelle. Afin de rendre l'application accessible à tous, vous pouvez demander une vérification pendant sa phase de test. Nous ferons notre possible pour procéder à ces vérifications dans un délai de trois à sept jours ouvrés. Plus tard, les demandes de vérification seront également possibles pendant la phase d'enregistrement.
Vous pouvez continuer à utiliser votre application à des fins de test avant son approbation en vous connectant à la console API de Google avec un compte d'éditeur/de propriétaire du projet. Vous pourrez ainsi ajouter des testeurs et lancer le processus de vérification.
Nous invitons également les développeurs à prendre connaissance de notre précédent post sur les responsabilités qui sont les leurs lorsqu'ils demandent un accès aux données utilisateur via leurs applications. Nos équipes continueront de mettre tout en œuvre pour assurer un environnement de développement qui garantisse la sécurité des utilisateurs et de leurs données.