Google, avec son service Apps for Work permet d'enregistrer des noms de domaines. Les noms de domaines sont enregistrés via Google par le registrar eNom, partenaire de Google dans cette affaire.

Comme tous ceux qui ont enregistré un nom de domaine le savent, l'opération requiert de fournir des informations personnelles. Nombre de registrars proposent d'ailleurs des options pour que les données soient masquées aux whois, les registres de noms de domaine.

Selon les registrars ces options de confidentialités sont gratuites, une simple option à cocher dans un backoffice, parfois elles sont payantes. Google avait choisi de faire payer ce service 6 dollars par an, ce qui n'est pas donné si on compare avec le prix moyen d'un nom de domaine.

Au départ tout allait bien, mais lorsque les clients renouvelaient leurs domaines avec l'option de confidentialité, leurs données personnelles se retrouvaient accessibles publiquement.

Des ingénieurs de Cisco ont découvert la faille au cours du mois de février de cette année. Les noms, adresses, téléphones ou adresses e-mail de 282 867 clients du service "Apps for work" ont ainsi non seulement été rendus publics, mais se sont propagés dans les whois. Ce qui signifie qu'elles restent accessibles sur Internet même après que Google a remédié au problème.

Mountain View a battu sa coulpe : "Un chercheur en sécurité a récemment signalé une faille […] qui affecte l'intégration de Google Apps avec l'API d'enregistrement de nom de domaine Enom. Nous avons identifié la cause, fait les corrections appropriées, et communiqué avec les clients touchés par ces applis. Nous nous excusons pour tout problème que cela a pu avoir causé".

Capture Ars Technica