Tous les moyens sont bons pour prendre le contrôle de l’ordinateur de quelqu’un d’autre, et même les outils les plus banals peuvent devenir une porte grande ouverte pour y parvenir.
Si je peux me permettre, article n’est pas bien clair sur le principe / dangerosité.
De ce que j’ai compris en parcourant rapidement la source, c’est juste utiliser les événements du calendrier Google Camendar comme un bus de données:
1 - le serveur du pirate met à jour la description en mettant une « commande à exécuter » (ex : lister les fichiers)
2 - l’ordinateur infecté (par quoi dailleurs ?) récupere la description et voit la commande à joueur
3 - l’ordinateur infecté exécute la commande et met le résultat dans la description de l’événement du calendrier
4 - le serveur du pirate récupere le résultat en se synchronisant
Au final, il n’y a aucun vrai risque à utiliser Google calendar, c’est juste qu’un virus pourrait passer par lui pour exfiltrer discrètement des données.
C’est bien ça ?
Je le comprends comme ça aussi. Et difficile même de parler réellement de « vulnérabilité » de Google Calendar, c’est « juste » une utilisation subtile de l’outil, mais je vois pas en quoi ça constitue une faille, ni comment Google pourrait corriger quoi que ce soit…
Le même principe pourrait d’ailleurs être utilisé avec absolument n’importe quel outil en ligne permettant d’échanger des informations : les calendriers partagés, les webmail, les drive en tous genres, les dépôts Git…