Le 9 septembre, j’ai signalé que, plus de deux ans après avoir été informé du problème, Google travaillait à la résolution du problème des invitations malveillantes pour les utilisateurs de Google Agenda. Je pensais que ce serait la dernière fois que je devrais parler de Google Agenda à l’attention d’un large public pendant un certain temps. J’avais tort. Cette fois, c’est une autre fonctionnalité qui peut également poser problème, laissant certains utilisateurs à un clic d’exposer les données de leur agenda au monde entier. Bien qu’il ne s’agisse pas d’une faille de sécurité, et pour une fois, je suis d’accord avec Google sur ce point, il s’agit d’un désastre en matière de confidentialité qui risque de se produire et qui pourrait bien avoir des conséquences en termes de sécurité.

 

Quel est le problème de confidentialité qui pourrait arriver en un clic avec Google Agenda ?

Avinash Jain, chercheur en sécurité en Inde travaillant pour une société de e-commerce appelée Grofers, m’a contacté. Il a l’habitude de trouver des vulnérabilités, des bugs et des problèmes de confidentialité avec des entreprises telles que Jira, la NASA, Yahoo et Google. C’était ce dernier dont il voulait parler à cette occasion. Inspiré par mon précédent reportage sur la façon dont Google avait annoncé qu’il travaillait sur un correctif du problème des invitations malveillantes pour les utilisateurs de Google Agenda, Jain a commencé à s’intéresser au problème plus général des paramètres mal configurés.

Il convient de préciser à ce stade que les paramètres en question font partie des fonctionnalités prévues de Google Agenda et que Jain ne parle pas de bug ou de vulnérabilité du code logiciel. Au lieu de cela, il s’agit d’un problème de mauvaise configuration.

Bon, passons à l’histoire. Jain a porté toute son attention sur les options permettant à un utilisateur de partager des événements de son agenda avec des utilisateurs spécifiques ; et plus précisément, sur l’option pour rendre son agenda public. « Bien qu’il s’agisse d’un paramètre souhaité par l’utilisateur et d’un fonctionnement prévu du service », explique Jain, « le principal problème est que tout le monde peut voir tout agenda public en effectuant une seule requête de recherche Google, et sans que le lien de l’agenda ne soit partagé avec eux ».

Comment fonctionne le partage de Google Agenda ?

Il est probablement préférable de se demander pourquoi partager un agenda avant de déterminer comment le faire. Le cas d’utilisation le plus courant est probablement le partage de rappels d’événements, l’organisation de rencontres, etc. L’important est que ces événements dans l’agenda se mettent ensuite à jour en temps réel et tiennent tout le monde au courant. Une fois l’agenda rendu public, selon les pages d’assistance en ligne de Google, d’autres personnes peuvent le voir sur un site web, le synchroniser avec d’autres applications, s’y abonner et le voir dans leur propre Google Agenda.

Il existe de nombreuses options pour partager un agenda. Par exemple, certains agendas incluent des agendas privés et partagés. Pour les fichiers partagés, que vous ne pouvez modifier que sur un ordinateur et non dans l’application mobile, il existe une option pour « rendre disponible au public » à partir des autorisations d’accès. Il existe une option permettant de sélectionner « voir uniquement ‘disponible / occupé’ » qui masque les détails de l’événement, mais pour la plupart des gens, on perd ici la fonctionnalité de partage.

Pour arrêter de partager publiquement l’agenda, l’utilisateur désélectionne la case ‘rendre public’. Il est toutefois important de noter que les pages d’assistance de Google indiquent que « cette opération peut prendre jusqu’à quatre heures » pour que les modifications soient appliquées.

De manière tout aussi importante, lorsque vous rendez un calendrier public, il devient la valeur par défaut pour tous les nouveaux événements qui lui sont ajoutés, à moins que vous ne modifiiez explicitement les paramètres de confidentialité pour cet événement.

Alors, quel est le problème de confidentialité avec Google Agenda ?

Lorsque vous passez un agenda en public, Google affiche une boîte de dialogue d’avertissement indiquant : « Rendre votre agenda public rendra tous les événements visibles pour tout le monde, y compris par le biais d’une recherche Google. Êtes-vous sûr ? » Ce qui suggère qu’il n’y a pas de problème de confidentialité, ou du moins, de problème dont l’utilisateur ne soit pas au courant, n’est-ce pas ?

Faux, selon Jain. « Les utilisateurs avaient peut-être l’intention de rendre leur agenda public pour des personnes de l’entreprise en particulier, et de partager simplement l’URL avec eux, mais au lieu de cela, il est indexé et trouvable sur internet, à l’aide d’une simple recherche Google », explique Jain. « Parce que tout le monde peut trouver l’agenda sans même connaître le lien », précise-t-elle, « et si l’agenda dispose de paramètres permettant aux utilisateurs d’ajouter des événements et de les relier, une erreur d’un employé peut entraîner la fuite d’informations de l’entreprise ».

Jain cite l’exemple d’un cas impliquant Shopify, qui a été signalé via la plateforme Bug Bounty HackerOne. Les Google Agenda de certains employés de Shopify ayant été rendus publics, un chercheur a pu accéder à des informations confidentielles et sensibles sur l’entreprise. En utilisant un outil pour rechercher tous les e-mails « @ shopify.com », puis en exécutant cette liste via une fonctionnalité Google Agenda permettant l’ajout des agendas d’autres personnes, le chercheur a trouvé tous ceux que les employés avaient passé publics. Parmi les informations alors accessibles, les interviews sur place révélaient des renseignements sur les nouveaux employés, des présentations internes à l’entreprise et des liens de Zoom Meetings qui, une fois encore, mettaient en péril des informations internes. Rien de tout cela n’était l’intention de l’employé qui, très probablement, essayait d’être plus productif et de faire un meilleur travail.

Qu’est-ce que l’utilisateur de Google Agenda doit savoir pour atténuer ce risque ?

Dans le cas de Shopify, la solution consistait à appliquer un paramètre universel à l’échelle de l’organisation à l’aide de G Suite, de sorte que tous les agendas publics ne puissent afficher qu’un statut ‘disponible’ ou ‘occupé’ et aucune autre information. Cela aurait dû être le réglage par défaut, mais c’est également là que le problème de mauvaise configuration se pose et montre à quel point il est important de comprendre les conséquences des modifications que vous effectuez.

L’affaire Shopify a également été mise en avant à cause du problème des Zoom Meetings, qui peut être atténué en limitant ces Zoom Meetings aux utilisateurs connectés à un domaine spécifique, pour empêcher les attaquants d’accéder aux réunions internes de l’entreprise.

« Google ne devrait pas indexer les liens des Google Agenda dans les listes de recherche », déclare Jain, « tant que l’utilisateur ne le lui aura pas informé ». Cela signifierait un changement afin que l’utilisateur dispose d’une visibilité continue et d’une bonne connaissance des risques liés à l’utilisation des agendas publics. Je suis d’accord avec Jain pour dire qu’il est maintenant nécessaire de clarifier davantage les choses pour s’assurer que les utilisateurs sont réellement conscients des implications du statut public sur la confidentialité, au-delà de la boîte de dialogue d’avertissement lors de la configuration initiale de cette modification.

Que dit l’expert en cybersécurité ? 

Tout en admettant que ce n’est probablement pas quelque chose que la plupart des gens qualifieraient de grave, Jake Moore, spécialiste de la cybersécurité chez ESET, a déclaré que « si les entreprises choisissent d’utiliser Google pour les événements professionnels de leur agenda, elles doivent envisager de fournir une formation adéquate pour veiller à ce que leurs employés comprennent les risques liés à la sécurisation des données de leur entreprise ».

Moore poursuit en affirmant que si une entreprise utilise une application qui permet de la partager publiquement, on peut faire valoir son point de vue, mais elle doit également comprendre les risques possibles et prendre les précautions qui s’imposent. « Utiliser les fonctions d’un rôle d’administrateur G Suite, telles que la configuration d’une alerte lorsqu’un utilisateur rend public l’agenda, constitue un moyen idéal pour surveiller cette menace », déclare Moore.

Que dit Google ?

Un porte-parole de Google a déclaré : « Le partage d’agenda est privé par défaut, à la fois pour les utilisateurs de G Suite et pour les utilisateurs grand public. Les administrateurs de G Suite peuvent contrôler le niveau de détail avec lequel les utilisateurs d’entreprise peuvent partager leur agenda en externe. Un utilisateur de G Suite ne peut pas dépasser le niveau de détail des événements autorisé par l’administrateur lors du partage en externe. Le partage du calendrier est également privé par défaut pour tous les comptes consommateurs. Un utilisateur grand public ne peut partager qu’en modifiant ce paramètre, dans lequel il est informé de la manière dont son calendrier sera visible par le public ».

Mis à jour le 17 septembre : cet article a été mis à jour avec une déclaration de Google précisant le paramètre de confidentialité par défaut pour tous les utilisateurs de Google Agenda.