Calendrier exposé
Calendrier SaaS — Google Calendar ou Microsoft 365 le plus souvent — dont la visibilité fuite titres, participants, lieux ou liens de réunion vers tout le domaine ou l'internet public.
Un calendrier exposé est un calendrier SaaS — le plus souvent Google Calendar ou Microsoft 365 — dont les paramètres de partage révèlent plus que ce que le propriétaire avait prévu. Le dégât n’est pas tant les horaires des réunions ; ce sont les titres, participants, lieux et liens d’appel qu’elles transportent. « Sync acquisition T4 — Projet Phare — lien Zoom », répété chaque semaine, est un renseignement compétitif et sécuritaire qui demande une seule requête à un attaquant.
Les calendriers se trouvent exposés de deux manières distinctes. Premièrement, le calendrier lui-même est passé en public (« Rendre disponible publiquement » dans Google Workspace) et indexé par les moteurs. Deuxièmement — bien plus fréquent — le défaut interne au domaine est « voir tous les détails de l’événement », ce qui veut dire que chaque collaborateur, prestataire et collaborateur externe dormant peut lire chaque titre de réunion de l’entreprise. Deux réglages par défaut, rarement revisités. Propriétés essentielles :
- Utile à l’ingénierie sociale. Un attaquant qui construit un prétexte de spear-phishing utilise les métadonnées calendrier pour savoir qui rencontre qui, quand, et à propos de quoi.
- Utile à la veille concurrentielle. Les noms de fournisseurs dans les titres (« appel avec [cabinet d’avocats] », « démo avec [cible d’acquisition] ») sont des signaux.
- Utile aux attaques de timing. Savoir que le DAF est en conseil pendant quatre heures est la fenêtre parfaite pour une fraude au virement envoyée à son assistant.
- Souvent hérité des défauts. Beaucoup d’admins n’ont jamais changé le défaut du workspace ; beaucoup d’utilisateurs n’ont jamais vu l’override par calendrier.
- Trivial à corriger, difficile à repérer. Le réglage est enterré à deux menus de profondeur dans chaque calendrier utilisateur.
Un CASB ou une DLP n’aideront pas ici : aucune règle de contenu n’est violée. Il s’agit d’un problème de configuration et de comportement — exactement la forme de risque que la surveillance comportementale SaaS est faite pour révéler.
Termes liés
- Partage public de fichiersPartage d'un fichier ou d'un dossier SaaS via une option « toute personne disposant du lien » qui contourne l'authentification — la fuite silencieuse la plus fréquente dans Drive, SharePoint, Dropbox, Notion.
- Shadow ITLogiciels, SaaS ou services cloud utilisés dans l'organisation sans approbation IT ou sécurité — invisibles à l'inventaire, non gouvernés, rarement désactivés à la sortie.
- Ingénierie socialeManipuler une personne — plutôt qu'exploiter une faille logicielle — pour obtenir identifiants, argent ou accès ; la catégorie chapeau dont relèvent phishing, vishing et fraude au président.
- Spear-phishingAttaque de phishing ciblée sur une personne ou un petit groupe, exploitant l'OSINT public pour atteindre une crédibilité que le phishing de masse n'a pas.