Next publie (en accès libre) une enquête initialement parue le 2 juillet 2025 sur l’ampleur des fuites liées à des Google Groupes configurés en lecture publique, entraînant l’exposition de données sensibles depuis parfois près de 20 ans.

Le problème est attribué à la mauvaise configuration de la visibilité des groupes: des messages envoyés à une adresse de groupe deviennent lisibles par tous les internautes connectés. Ce phénomène touche des associations, syndics de copropriété, entreprises et établissements de santé. L’historique de Groups (depuis l’intégration de Deja.com en 2001) et la persistance des pièces jointes hébergées par Google aggravent l’exposition 🔓.

Des cas concrets illustrent l’impact:

  • 🏟️ Clubs sportifs: dossiers d’inscription, autorisations RGPD, certificats médicaux, comptes rendus de réunions, documents bancaires.
  • 🏘️ Copropriétés: devis, photos, codes, coordonnées personnelles, échanges sensibles.
  • 📨 Mauvaise pratique critique: utilisation de l’adresse du groupe comme identifiant pour des réseaux sociaux, banques et services de paiement. Résultat: les emails de réinitialisation de mot de passe arrivent sur le groupe public et deviennent visibles par tous.

Next a confirmé en temps réel la réception d’emails de reset pour Qonto et Starlink sur un groupe d’entreprise vendant des solutions d’accès Internet par satellite de SpaceX 🏦. L’administrateur a aussitôt fermé l’accès et justifie ce choix « par nécessité » (multiplication d’adresses), alors même que le domaine de la société existe déjà.

Dans la santé, un service de reproduction publie depuis 2022 des plannings, comptes rendus opératoires et résultats d’analyses 🏥. De nombreux groupes abandonnés depuis 10–20 ans restent accessibles, avec pièces jointes toujours téléchargeables, et sont souvent envahis de spam. Interrogé, Google rappelle que les Groupes sont privés par défaut et que les propriétaires contrôlent les paramètres; les contenus problématiques peuvent être signalés au cas par cas. Google annonce aussi une nouvelle option pour verrouiller (« locked ») les groupes et limiter les modifications sensibles, sans effet rétroactif sur les données déjà exposées. L’article est une enquête de presse spécialisée visant à documenter l’ampleur d’une exposition de données due à des configurations publiques sur Google Groupes.

🔗 Source originale : https://next.ink/162029/google-groupes-depuis-20-ans-des-donnees-personnelles-et-bancaires-en-acces-libre/