Tous les moyens sont bons pour prendre le contrôle de l'ordinateur de quelqu'un d'autre, et même les outils les plus banals peuvent devenir une porte grande ouverte pour y parvenir.
Utilisez-vous Google Agenda ? Il est fort probable que oui, car ce service de Google est profondément ancré dans son écosystème, très populaire et présent par défaut sur Android et ChromeOS. De ce fait, on pourrait s'attendre à ce qu'il soit constamment décortiqué par les pirates en tout genre qui, s'ils y trouvent une faille, pourraient atteindre un grand nombre de victimes.
Malheureusement, ce scénario cauchemar vient de devenir réalité, puisqu'un certain Valerio Alessandroni a réussi à développer un outil aux capacités plutôt effrayantes.
Les descriptions d'évènements, talon d'Achille de Google Agenda ?
Baptisé Google Calendar RAT, cet outil exploite les descriptions d'événements de l'agenda de Google pour créer un canal de communication caché, sous couvert des serveurs du géant américain. Une fois ce canal ouvert avec l'appareil de la victime, l'acteur malveillant peut activer des commandes à distance en toute discrétion et récupérer une multitude de données.
L'ordinateur infecté met régulièrement à jour Google Agenda, qui se synchronise alors en permanence avec les serveurs de Google et vérifie si la description de l'événement infecté a été mise à jour. Le script utilisé par Google Calendar RAT permet de créer une chaîne d'instructions, modifiant automatiquement les commandes fournies par l'attaquant par de nouvelles.
Cette faille est particulièrement redoutable car, comme l'explique Alessandroni, « les seules connexions établies se font avec les serveurs de Google, ce qui rend la connexion tout à fait légitime ». De plus, les ressources que les acteurs malveillants doivent développer sont minimes, puisqu'ils n'ont principalement besoin que d'un compte Gmail.
Une approche qui risque de se démocratiser
Bien que la firme de Mountain View soit au courant de cette vulnérabilité, il ne semble pas y avoir de correctif pour l'instant. En revanche, elle ne recense aucune attaque utilisant le Google Calendar RAT, pourtant partagé par Alessandroni sur GitHub depuis juin 2023. L'outil circule également très bien sur les forums clandestins du dark web, ce qui montre l'intérêt qu'il suscite auprès des hackers.
Pour Google, il s'agit d'un sacré caillou dans la chaussure, mais qui s'inscrit dans une tendance qu'il observe depuis un certain temps. Dans un récent rapport sur les menaces informatiques, la firme explique : « Plutôt que de s'appuyer sur des infrastructures qu'ils exploitent eux-mêmes ou qu'ils louent à des services criminels, de nombreux acteurs malveillants privilégient de plus en plus des services cloud légitimes pour héberger leur infrastructure ».
Cela permet de déployer des attaques difficiles à détecter, dans un environnement dans lequel les victimes se sentent en confiance. Pire encore, cela permet d'accéder aux informations stockées sur leurs appareils, et donc à une myriade de données personnelles. La prudence est donc de mise pour le moment, si cela peut vraiment servir dans le cas de Google Calendar RAT.
- Facilité d'utilisation et interface intuitive
- Intégration avec Gmail et autres services Google
- Possibilité de partager facilement vos agendas avec d'autres utilisateurs
Source : The Hacker News