Le service de messagerie Gmail de Google est utilisé par plus de 1,5 milliard de personnes. L’application Google Calendar, quant à elle, a été téléchargée plus d’un milliard de fois depuis le Play Store. Des chercheurs en sécurité ont révélé que des pirates exploitent la popularité de ces deux outils pour cibler les utilisateurs avec une attaque d’usurpation des identifiants d’accès.

Au mois de juin, Forbes publiait un article décrivant une faille dans l’intégration des appications Calendar et Gmail de Google. L’article explique comment des chercheurs ont montré que des personnes malveillantes pouvaient mettre en place des opérations de phishing et d’ingéniérie sociale par le biais des invitations de Calendrier.

Cela montre clairement comment les paramètres mal configurés dans les services Google par ses utilisateurs/clients peuvent être exploités.

En faisant des recherches plus approfondies, Avinash Jain, ingénieur en sécurité, s’est rendu compte qu’il y a plusieurs paramètres dans l’agenda Google qui permettent aux utilisateurs de partager leur agenda avec des utilisateurs spécifiques et ensuite de rendre leur calendrier public afin que n’importe qui puisse le voir.

Il s’agit d’une fonctionnalité prévue par Google Agenda, mais que se passe-t-il si un utilisateur n’a pas l’intention de partager le calendrier tant qu’il n’a pas partagé le lien et mais quelqu’un est tout de même capable de trouver le lien public de leur calendrier ?

C’est à ce moment que cela devient un problème.

Car si quelqu’un appartenant à une organisation rendait public son calendrier officiel sur Google, il pourrait finir par divulguer des informations internes de l’entreprise !

Avinash Jain s’est rendu compte qu’avec une requête de recherche avancée, il était en mesure de lister tous les agendas rendus publics par leurs propriétaires. Il a trouvé des dizaines d’agendas indexés par le moteur de recherche, révélant ainsi des informations sensibles. Il a pu avoir accès à des informations privées d’entreprises comme les réunions, les entretiens, des informations internes, des liens vers des présentations, etc. Il a trouvé plus de 200 calendriers de ce type, tous référencés par le moteur de recherche. Donc tous accessibles par une simple recherche sur le web.

Autrement, n’importe qui peut trouver le calendrier public d’une personne en saisissant son adresse dans cette URL :

https://calendar.google.com/calendar/b/1/r?cid=users_mail_address@gmail.com

ou encore :

https://calendar.google.com/calendar/b/1/r?cid=users_mail_address@company_name.com

Vous trouverez plus de détails sur le POC sur cette page.

La vulnérabilité est dûe au paramètre de visibilité défini par l’utilisateur et laissé sur publique par la suite. A cela s’ajoute le fait que Google n’envoie pas de notification aux utilisateurs ou aux entreprises concernant la visibilité de leur calendrier.

La solution pour cela est ici.

Vous pouvez également mettre en place votre propre calendrier partagé CalDav. N’hésitez pas à nous contacter pour plus de détails.