YouTube : une faille de sécurité exposait les adresses e-mails des utilisateurs
Pendant plus de quatre mois, une vulnérabilité sur YouTube a permis d’accéder aux adresses e-mail des utilisateurs. Une situation préoccupante, surtout pour ceux qui tiennent à préserver leur anonymat. Signalé en septembre 2024 par deux chercheurs en cybersécurité, le problème vient seulement d’être corrigé par Google en février 2025.
Une fuite discrète mais inquiétante
Brutecat et Nathan, spécialistes en cybersécurité, ont mis en évidence une faille en explorant les API de Google. Tout a commencé lorsqu’ils ont analysé l’API People de YouTube. En ouvrant simplement le menu de blocage d’un live chat, la plateforme transmettait en arrière-plan un identifiant unique, le Gaia ID, censé rester confidentiel.
Ce numéro, utilisé par Google pour relier un compte à ses différents services, aurait pu rester inoffensif. Mais en fouillant plus loin, les chercheurs ont découvert qu’en combinant cette faille avec l’API de Pixel Recorder, il était possible de convertir un Gaia ID en adresse e-mail Google. Autrement dit, n’importe qui avec un minimum de compétences en informatique pouvait découvrir l’identité cachée derrière n’importe quelle chaîne YouTube.
Une situation critique pour les créateurs de contenu sous pseudonyme, mais aussi pour les journalistes, activistes et toute personne souhaitant protéger son identité en ligne.
Une réaction tardive de Google
Alerté dès le 24 septembre 2024, Google a d’abord minimisé le problème, estimant qu’il s’agissait d’un simple doublon d’un bug déjà connu. L’entreprise a versé une prime de 3 133 dollars aux chercheurs, avant de revoir son jugement face à l’ampleur de la faille. La récompense est finalement montée à 10 633 dollars, signe que le problème était bien plus sérieux que Google ne voulait l’admettre au départ.
Il aura fallu attendre le 9 février 2025 pour qu’un correctif soit enfin déployé. Désormais, le Gaia ID n’est plus accessible via l’API YouTube, et Pixel Recorder ne permet plus d’en extraire les adresses e-mail. Google a également renforcé le système de blocage pour éviter toute fuite involontaire.
Officiellement, aucun pirate n’aurait exploité cette faille. Mais entre la découverte du problème et son correctif, plus de quatre mois se sont écoulés. Un délai bien trop long pour une vulnérabilité aussi critique.
Vous êtes un utilisateur de Google Actualités ? Suivez-nous en cliquant ici pour ne rien rater de l'actualité tech !
A propos de l'auteur
Mon travail quotidien consiste à tester de nouveaux appareils, à rédiger des critiques objectives, à couvrir des lancements de produits, et à interviewer des acteurs clés de l'industrie. Je m'engage à fournir des informations précises et pertinentes pour aider les consommateurs à comprendre et à naviguer dans le paysage technologique en constante évolution.
