Google a partagé mon numéro de téléphone

 (danq.me)
1 points par GN⁺ 2025-05-27 | 1 commentaires | Partager sur WhatsApp
  • Récemment, des utilisateurs de Three Rings ont appelé l’auteur à plusieurs reprises, et en remontant à la source, il a découvert que son numéro de téléphone portable personnel était affiché dans les résultats de recherche Google
  • Ce numéro avait été fourni par le passé lors du processus de vérification d’identité de Google, et a été ajouté sans consentement au Google Business Profile apparaissant dans les résultats de recherche
  • L’auteur a immédiatement supprimé le numéro du profil d’entreprise, ce qui a mis fin à son affichage, mais il n’a obtenu aucune explication sur la raison de ce changement
  • Après avoir récemment subi une autre fuite de données personnelles auprès d’une banque, la défiance grandit face à la difficulté de protéger sa vie privée
  • Le récit souligne l’importance du consentement des utilisateurs, tout en montrant que les erreurs des utilisateurs ou la banalisation des fenêtres de consentement peuvent aussi accélérer les fuites de PII

Vue d’ensemble de l’incident

  • Au début de ce mois, l’auteur a reçu l’appel d’un utilisateur du logiciel de gestion de bénévoles Three Rings, qu’il a lui-même fondé
  • Une assistance téléphonique n’était pas officiellement proposée, mais il lui était souvent arrivé par le passé de rappeler directement des utilisateurs
  • Il pensait donc que certains utilisateurs pouvaient avoir enregistré son numéro de portable personnel

Appels répétés et interrogations

  • Après le troisième appel similaire du mois, l’auteur a commencé à soupçonner que son numéro avait été rendu public quelque part
  • Lors d’un quatrième appel, comme l’utilisateur au téléphone ne connaissait pas le nom de son organisation, l’auteur lui a demandé où il avait trouvé le numéro
  • Son interlocuteur a répondu : « Il apparaît quand on cherche “Three Rings login” sur Google »

Exposition de données personnelles via les résultats de recherche Google

  • En vérifiant lui-même, il a constaté que le Google Business Profile de Three Rings CIC affichait ses coordonnées personnelles
  • N’importe qui pouvait appeler directement son numéro personnel via le bouton « appeler »
  • Comme il n’utilise presque jamais Google Search au quotidien, il n’aurait probablement rien remarqué sans le signalement d’un tiers

La manière dont Google gère les données personnelles

  • L’auteur avait bien fourni ce numéro dans le passé lors d’un processus de vérification d’identité de Google, mais n’avait jamais consenti à sa publication
  • Google a récemment commencé à afficher ce numéro dans le Google Business Profile sans explication claire, et ni la date exacte ni la cause ne sont connues
  • Dès que l’auteur a supprimé le numéro du profil d’entreprise, l’affichage a cessé immédiatement
  • Mais en même temps que la suppression du numéro, le message « Le numéro de téléphone a été modifié par Google » a lui aussi disparu, rendant impossible de comprendre la raison ou les circonstances du changement

Cas récent dans un autre établissement financier et sentiment d’inquiétude

  • Le mois dernier, une banque (Halifax) a envoyé à un tiers sans lien avec l’auteur des informations sur un contrat de crédit
  • Après deux fuites de données personnelles rapprochées, l’auteur en vient à se demander s’il n’a pas lui-même coché par erreur une fenêtre de consentement
  • Il se moque du fait que les messages de consentement liés aux données personnelles sont en pratique difficiles à comprendre, dans un environnement où l’on clique machinalement sur le bouton « j’accepte »

Résumé et implications

  • Cela montre qu’une atteinte à la vie privée inattendue peut arriver à n’importe qui
  • La confiance des utilisateurs envers la gestion de l’utilisation et de la divulgation des données personnelles par de grandes plateformes comme Google ou les institutions financières est de nouveau mise en question
  • Le risque de fuite de PII (informations personnellement identifiables) persiste en raison d’erreurs d’utilisateurs, d’inattention, ou d’une synchronisation arbitraire du système
  • Il existe toujours un décalage entre le sens du consentement et les pratiques réelles de traitement des données
  • Les entreprises IT et les utilisateurs ont besoin d’explications plus transparentes et plus accessibles pour gérer les informations personnelles en toute sécurité

À lire aussi

1 commentaires

 
GN⁺ 2025-05-27
Avis Hacker News

  • Quelqu’un souligne que le numéro de téléphone est publié sur le site web et que le même numéro apparaît aussi sur le profil développeur Google Play. Selon lui, dans les deux cas il semble s’agir d’informations publiées par l’intéressé lui-même. Si on utilise le même numéro personnel et professionnel, ce résultat paraît assez logique. Au départ, il pensait que Google avait eu tort de faire passer ce numéro de privé à public, mais il est expliqué que Google Play exige un numéro permettant aux clients de contacter le développeur.

    • L’auteur du billet précise que le numéro ne devrait pas figurer sur le site web et qu’il ne le trouve pas non plus lui-même. Il regrette que le numéro ait été affiché sur le profil développeur Google Play et remercie la personne de l’avoir signalé.

  • Quelqu’un raconte qu’après avoir acheté un téléphone Samsung, il avait une fonction qui affichait le nom d’un appelant inconnu. Il suppose que ces informations provenaient sans doute d’une base de données constituée à partir des carnets d’adresses d’autres personnes. Un jour, un voisin l’a appelé ; bien qu’il n’ait pas ce contact enregistré, l’appel s’est affiché sous le nom « NOM GRINDER », parce qu’un autre utilisateur l’avait enregistré ainsi. Le voisin avait fait son coming out dans le quartier, mais travaillait dans la prospection pour une agence immobilière et avait été profondément choqué par cette fuite d’information. Il précise aussi qu’il n’utilise plus cette application depuis sept ans.

    • Quelqu’un répond qu’il est difficile de croire que cela se soit réellement produit. Cela paraît tellement dangereux qu’on peut imaginer des situations bien pires encore.

    • Un autre ajoute que certains téléphones Samsung sont fournis avec truecaller ou callapp, ce qui peut provoquer ce genre de situation.

  • Une personne explique qu’aux Pays-Bas, en gérant une entreprise, Google a mis à jour le numéro de téléphone de la société à partir du numéro d’enregistrement à la chambre de commerce. L’entreprise n’assure pas de support téléphonique, mais la loi impose de faire figurer un numéro sur l’enregistrement officiel. Ils ont donc enregistré un numéro VoIP qui renvoie directement vers la messagerie vocale, avec un message indiquant qu’aucun support téléphonique n’est proposé. Même après suppression du numéro du profil Google Business, Google le rajoute parfois automatiquement.

  • Quelqu’un suppose aussi qu’une personne ayant eu ce numéro a peut-être pu l’ajouter librement au profil de l’entreprise en pensant que ce serait utile.

    • Une réponse souligne que la capture d’écran mentionne explicitement « Le numéro a été mis à jour par Google », ce qui montre que cela ne vient pas d’une saisie utilisateur.

    • Un autre estime que le fait qu’un utilisateur ordinaire puisse modifier librement le numéro d’un profil d’entreprise, et que Google le publie sans même demander l’autorisation du propriétaire du numéro, est une grosse erreur.

  • Quelqu’un dit avoir vécu quelque chose de similaire et raconte avoir reçu un appel à 2 heures du matin. À l’époque où il gérait un service de recrutement dans son ancienne entreprise, il avait publié une offre pour recruter un développeur Python dans le cadre de son projet, mais il n’était pas possible de désactiver l’affichage des coordonnées. Résultat : vers 5 heures du matin, un inconnu l’a appelé plusieurs fois pour demander comment devenir programmeur. Il se souvient avoir été tellement surpris au premier appel qu’il avait quand même donné des conseils utiles. Aujourd’hui, pour se protéger de ce genre de fuite de données personnelles, il utilise quatre numéros distincts pour le personnel, le travail et d’autres usages.

    • Comme quelqu’un remarque que tous les appels sont arrivés à 5 heures du matin, une autre personne suggère qu’ils venaient peut-être de la même région, ce qui correspondait à l’heure de début de journée de l’appelant à cause du décalage horaire.

  • Un commentaire décrit les dégâts qui surviennent quand Google n’est pas poursuivi en justice. En Allemagne, lieferando (groupe takeaway.com) aurait enregistré massivement des domaines du type « nom-du-restaurant-ville.de », renvoyant vers son propre centre d’appels, puis modifié à son profit les fiches Google Business. Ils appelaient ensuite les restaurateurs pour leur dire qu’on ne trouvait plus leur établissement sur Google et leur imposaient un contrat sous pression ; pendant ce temps, les clients qui voulaient commander étaient redirigés vers des informations trompeuses, ce qui nuisait fortement à l’activité. Plus de 130 000 de ces domaines factices auraient existé, et la personne dit avoir aidé à fournir un jeu de données pour les restaurateurs touchés. Mais comme le préjudice par cas restait limité, les poursuites étaient difficiles, et contrairement aux États-Unis il n’y a pas de class action, ce qui empêchait d’en faire un véritable enjeu judiciaire. Selon ce commentaire, Google connaissait cette situation mais s’abritait derrière la structure de grande holding pour éviter ses responsabilités.

    • Quelqu’un note qu’une méthode similaire était déjà largement utilisée sur BlackHatWorld il y a 15 ans, et trouve ironique de voir aujourd’hui des sociétés financées par du VC s’en servir.

    • Une autre réponse objecte que le problème central n’est pas Google en soi, mais le fait qu’une entreprise qui fait du chantage échappe aux poursuites.

    • Quelqu’un demande s’il suffit vraiment, sur Google Maps, d’enregistrer un simple domaine pour prendre le contrôle de n’importe quelle entreprise, et si Google n’a pas mis en place de procédure spécifique pour traiter les litiges de propriété.

    • Une autre personne se demande s’il existe dans la presse allemande un bon article d’enquête sur cette affaire.

    • Un commentaire insiste sur le caractère inquiétant de cet écosystème créé par Google, qu’il est beaucoup trop facile d’utiliser comme arme contre les petites entreprises.

  • Quelqu’un remarque que l’explication avancée dans le texte principal n’est peut-être pas la meilleure. Rien que dans les commentaires, il existe au moins trois explications alternatives. Il suggère de demander les données du compte Google via Takeout pour voir quelles informations sont détenues et dans quel but elles sont utilisées.

    • Une réponse précise cependant que Google ne propose pas Takeout pour Business Profile, et explique que les entreprises ne sont souvent pas protégées par les lois sur la protection des données personnelles comme le GDPR, si bien que de grands groupes comme Google ne fournissent pas forcément d’outils pratiques d’export des données.

  • Quelqu’un raconte que son numéro de téléphone mobile personnel a été affiché sur Google Play Store. Comme Google menaçait de suspendre le compte si le numéro professionnel ne pouvait pas être vérifié, il a tenté la vérification pendant plus d’un mois avant de devoir finalement saisir son numéro personnel.

    • Un éditeur d’app indépendant dit avoir vécu la même chose et s’être senti mal à l’aise de voir son numéro de téléphone affiché à côté de son application alors qu’il n’assure même pas de support client. Selon lui, cette politique ne pénalise que les développeurs d’apps indépendants. Il raconte avoir finalement décidé de retirer son application du store.

  • Quelqu’un partage le fait que n’importe qui peut modifier le numéro de téléphone d’une entreprise via Google Search. Cela semble incroyable, mais c’est réel : exemple de modification du numéro de Three Rings CIC

    • Une réponse explique que tout utilisateur de Google Maps peut proposer une modification, mais que les informations soumises sont examinées avant d’être appliquées. Il est possible de signaler une fermeture, un changement d’adresse, d’horaires d’ouverture et d’autres éléments encore. Cela fonctionne même pour les arrêts de bus, gares, sites historiques, etc. Il s’agit d’un système fondé sur le « crowdsourcing ». Sont aussi partagés le guide Google Business Profile et le lien d’inscription au profil d’entreprise.

  • Quelqu’un remarque que, même si le numéro a été flouté dans l’image du billet, les chiffres restent visibles.

    • Le propriétaire du blog répond directement qu’il n’y a pas de problème de sécurité, car la capture d’écran utilise en fait un « faux numéro pour fiction » officiellement réservé par l’Ofcom. Il partage aussi la référence vers les numéros officiels pour les œuvres de fiction.

    • Une autre réponse souligne que le flou est trop faible et que le numéro se lit encore, puis donne en exemple la réalité actuelle où même une image très dégradée peut être presque reconstituée grâce à l’IA et à d’autres techniques : image d’exemple

    • Quelqu’un relève que le numéro lui-même, 07700 987654, trahit qu’il s’agit d’un numéro fictif.

    • Une autre personne explique qu’un simple floutage protège mal les informations sensibles et que les spécialistes recommandent des méthodes de masquage plus sûres. Dans un cas comme celui-ci, il est facile de lire le numéro même sans technologie particulière. Si le floutage visait réellement à protéger l’identité, elle conseille de remplacer l’image immédiatement.

    • Un dernier commentaire s’inquiète du fait que les crawlers IA récents extraient aussi le texte présent dans les images pour alimenter des jeux de données, ce qui signifie que des images maladroitement floutées risquent elles aussi d’être intégrées aux données d’entraînement des LLM.