Google a introduit au début du mois de nouveaux domaines de premier niveau ou TLD (top-level domain), dont .zip et .mov. Cependant, ces deux domaines suscitent des préoccupations en matière de sécurité en raison de leur ressemblance évidente avec les extensions de fichiers Zip (archive Zip) et Mov (fichier vidéo), qui sont extrêmement populaires aujourd'hui. Les chercheurs craignent qu'un malfaiteur utilise ces TLD pour tromper les gens en leur faisant visiter un site Web malveillant au lieu d'ouvrir un fichier, entre autres scénarios de menace. Certains estiment que ces nouveaux TLD sont susceptibles de faciliter les attaques par hameçonnage.Google a introduit au total huit nouveaux domaines TLD, notamment .dad, .phd, .prof, .esq, .foo, .zip, .mov et .nexus. Cependant, des chercheurs en cybersécurité et des administrateurs système ont exprimé leur inquiétude au sujet des domaines .zip et .mov de Google, avertissant que des acteurs menaçants pourraient les utiliser pour des attaques d’hameçonnage et la diffusion de logiciels malveillants. Bien que les domaines de premier niveau .zip et .mov soient disponibles depuis 2014, ce n'est que ce mois-ci qu'ils sont devenus généralement disponibles, permettant à n'importe qui d'acheter un domaine, comme "developpez.zip", pour un site Web.
Alors que les spécialistes du marketing de Google affirment que l'objectif est de désigner respectivement "lier des choses ensemble ou aller très vite" et "des images en mouvement et tout ce qui vous émeut", ces suffixes sont déjà largement utilisés pour désigner quelque chose de tout à fait différent. Plus précisément, .zip est une extension utilisée dans les fichiers d'archives qui utilisent un format de compression connu sous le nom de zip. Le format .mov, quant à lui, apparaît à la fin des fichiers vidéo, généralement lorsqu'ils ont été créés dans le format QuickTime d'Apple. Par conséquent, ces deux nouveaux domaines pourraient prêter à confusion.
En effet, il est très fréquent que des personnes publient en ligne (forums de discussion, sites de téléchargement, etc.) des instructions contenant des noms de fichiers portant les extensions .zip et .mov. Et de nombreux sites et logiciels convertissent automatiquement des chaînes de caractères telles que "developpez.com" ou en une URL qui, lorsqu'elle est cliquée, conduit l'utilisateur au domaine correspondant. La crainte est que les courriels et les messages sur les forums qui font référence à un fichier tel que "setup.zip" ou "vacation.mov" les transforment automatiquement en liens cliquables, et que les acteurs de la menace profitent de l'ambiguïté.
Par exemple, un escroc contrôlant le domaine photos.zip pourrait exploiter l'habitude prise depuis des décennies par les internautes d'archiver un ensemble de photos dans un fichier Zip, puis de les partager dans un courrier électronique ou sur les médias sociaux. Plutôt que de rendre photos.zip en texte clair, ce qui aurait été le cas avant la décision de Google, de nombreux sites et applications les convertissent désormais en domaine cliquable. Un internaute qui pense accéder aux archives de photos d'une personne qu'il connaît peut se retrouver sur un site créé par des escrocs et qui déclenche automatiquement le téléchargement d'un fichier malveillant.
S'il est très peu probable que des acteurs de la menace enregistrent des milliers de domaines pour capturer quelques victimes, il suffit qu'un employé d'une entreprise installe par erreur un logiciel malveillant pour qu'un réseau entier soit affecté. L'utilisation abusive de ces domaines n'est pas théorique : la société de cyberespionnage Silent Push Labs a déjà découvert ce qui semble être une page d'hameçonnage sur microsoft-office[.]zip qui tente de voler les informations d'identification du compte Microsoft. Plusieurs sites nouvellement créés par les chercheurs en cybersécurité montrent à quoi peut ressembler ce tour de passe-passe.
[tweet]<blockquote class="twitter-tweet"><p lang="en" dir="ltr">Regarding the .zip domains I complained about – I think it's dumb and unnecessarily creates confusion and will leave to various minor phishing schemes/tricks/address-confusion attacks... but it's just going to get forced into being another TLD. It just feels uniquely unneeded.</p>— SwiftOnSecurity (@SwiftOnSecurity) <a href="https://twitter.com/SwiftOnSecurity/status/1657165035326566407?ref_src=twsrc%5Etfw">May 12, 2023</a></blockquote> <script async src="https://platform.twitter.com/widgets.js" charset="utf-8"></script> [/tweet]
Le chercheur en cybersécurité Bobby Rauch a publié une étude selon laquelle en abusant d'un comportement connu de Chrome - que Google a apparemment décidé de ne pas corriger - il est possible de construire une URL avec un caractère Unicode qui s'affiche comme une barre oblique - U+2215 (∕
. Mais il n'est pas traité comme une barre oblique lorsque le navigateur récupère l'URL. Et en ajoutant l'opérateur @ dans l'URL, ce lien :| Code : | Sélectionner tout |
https://github.com∕kuberne...725;@v1271.zip
est traité comme :
| Code : | Sélectionner tout |
v1271.zip
Les utilisateurs avertis remarqueraient probablement le caractère @ et y réfléchiraient à deux fois avant de cliquer sur l'URL, mais ils ne remarqueraient peut-être pas le caractère Unicode U+2215, qui tente de se faire passer pour une barre oblique. Comme le note Rauch, la plupart des navigateurs modernes ne tiennent pas compte des informations précédant le symbole @ et n'écoutent que le nom d'hôte qui le suit. En d'autres termes, si vous insérez "https://google.com@bing.com", la plupart des navigateurs vous dirigeront vers bing.com. En revanche, si vous ajoutez des barres obliques dans l'URL avant le symbole @, c'est l'inverse qui se produit.
Ainsi, cette URL "https://google.com/search@bing.com" vous renvoie à Google. C'est là qu'interviennent les caractères Unicode U+2215 et U+2044. Ils ressemblent beaucoup à des barres obliques, mais ce n'est pas le cas. Et ils sont pris en charge dans les noms d'hôte. Selon le chercheur en cybersécurité, cela signifie que vous pouvez créer une fausse URL qui semble assez authentique et qui peut envoyer un internaute vers une URL .zip douteuse prétendant être un nom de domaine légitime. Ce domaine pourrait alors héberger un véritable fichier Zip contenant à peu près n'importe quoi, y compris des logiciels malveillants.
[tweet]<blockquote class="twitter-tweet"><p lang="en" dir="ltr">This is interesting reading regarding the .zip TLD. However, it's of near zero consequence to phishing attacks, read it first then I'll explain: <a href="https://t.co/RoN3L2m61o">https://t.co/RoN3L2m61o</a></p>— Troy Hunt (@troyhunt) <a href="https://twitter.com/troyhunt/status/1658644304116727808?ref_src=twsrc%5Etfw">May 17, 2023</a></blockquote> <script async src="https://platform.twitter.com/widgets.js" charset="utf-8"></script> [/tweet]
Cependant, les chercheurs en cybersécurité ne partagent pas le même sur les nouveaux domaines .zip et .mov. Eric Lawrence, membre de l'équipe de développement de Microsoft Edge, a déclaré qu'il pensait que les craintes concernant ces nouveaux domaines étaient exagérées. Troy Hunt, un autre employé de Microsoft et créateur du site HaveIBeenPwned, estime qu'il n'y a pas lieu de s'inquiéter. Il revient sur l'argument selon lequel les humains sont "mauvais en matière d'URL et les TLD n'ont pas d'importance". Hunt suggère que la plupart des gens n'ont aucune idée lorsqu'on leur présente une URL délibérément trompeuse.
Selon lui, cela arrive dans la grande majorité des cas, que le fichier ressemble ou non à un fichier Zip. Cependant, la plupart des personnes ayant dit que les domaines .zip et .mov ne représentent pas un problème crucial semblent être des chercheurs en cybersécurité. Ces derniers sont en mesure de reconnaître les URL douteuses et les éviter ou prendre les mesures adéquates pour les signaler. Le problème concerne les utilisateurs d'Internet les moins avertis. Le Zip est un format de fichier devenu tellement populaire qu'il semble inutilement déroutant d'en faire également un domaine Web. Sur ce point, Google dit avoir pris les précautions nécessaires.
« Le risque de confusion entre les noms de domaine et les noms de fichier n'est pas nouveau. Par exemple, les produits Command de 3M utilisent le nom de domaine command.com, qui est également un programme important de MS DOS et des premières versions de Windows. Les applications disposent de mesures d'atténuation (telles que Google Safe Browsing), et ces mesures s'appliqueront également aux TLD tels que .zip. Dans le même temps, de nouveaux espaces de nommage offrent de nouvelles possibilités de dénomination, comme community.zip et url.zip », a écrit dans un courriel en réponse aux demandes de commentaires.
[tweet]<blockquote class="twitter-tweet"><p lang="en" dir="ltr">Those Google blog URLs have no funny chars, no homoglyphs and definitely no new TLDs (not new in recent years, at least). They're from <a href="https://twitter.com/emschec?ref_src=twsrc%5Etfw">@emschec</a>'s 2018 talk abut the trouble with URLs and we, as humans, don't understand site identity. Deep link to the vid: <a href="https://t.co/1SqKI2KWju">https://t.co/1SqKI2KWju</a></p>— Troy Hunt (@troyhunt) <a href="https://twitter.com/troyhunt/status/1658652340638076929?ref_src=twsrc%5Etfw">May 17, 2023</a></blockquote> <script async src="https://platform.twitter.com/widgets.js" charset="utf-8"></script> [/tweet]
« Google prend très au sérieux l’hameçonnage et les logiciels malveillants, et le registre Google dispose de mécanismes permettant de suspendre ou de supprimer les domaines malveillants dans tous nos TLD, y compris le .zip. Nous continuerons à surveiller l'utilisation de .zip et d'autres TLD et si de nouvelles menaces apparaissent, nous prendrons les mesures nécessaires pour protéger les utilisateurs », a ajouté l'entreprise. Du côté des internautes, ils ne peuvent rien faire de plus que ce qu'ils font déjà pour se protéger des sites d’hameçonnage. Comme tout le monde devrait déjà le savoir, il n'est jamais prudent de cliquer sur des liens douteux.
Ils doivent également rester attentifs aux faux caractères dans les URL, aux domaines comportant des symboles @ suivis de fichiers Zip, et être prudents lorsqu'ils téléchargent des fichiers envoyés par des destinataires inconnus. En fait, ce dernier conseil est important pour éviter de se faire hameçonner. Les escroqueries prétendant provenir d'entreprises ou de services connus, voire de personnes que vous connaissez, sont parmi les plus dangereuses. Maintenant que les nouveaux TLD de Google sont disponibles, les ingénieurs qui supervisent les conventions d'attribution des noms de domaine débattent de la marche à suivre.
L'un d'entre eux a récemment demandé que .zip et .mov soient retirés de la liste publique des suffixes (PSL), une liste lisible par machine et gérée par la communauté, qui répertorie tous les suffixes publics DNS connus et les règles qui s'y rapportent. L'objectif de la PSL est de veiller à ce que les navigateurs et autres applications traitent les noms de domaine d'une manière qui favorise la sécurité et la stabilité d'Internet. Cependant, plusieurs ingénieurs qui ont répondu se sont opposés à la proposition, principalement parce que la suppression des TLD approuvés par l'ICANN créerait de l'instabilité et irait à l'encontre de l'objectif de la PSL.
Sources : billet de blogue, Google
Et vous ?
Quel est votre avis sur le sujet ? Que pensez-vous de l'introduction des domaines .zip et .mov ? Partagez-vous l'avis selon lequel ces domaines représentent un risque de sécurité ? Que pensez-vous de la réponse de Google aux préoccupations des chercheurs en cybersécurité ?Voir aussi
Le secteur technologique est le plus touché par le manque d'hygiène cybernétique, les employés se connectent aux ressources de l'entreprise avec un appareil infecté par un malware, selon SpyCloud Les chefs d'entreprise ne comprennent pas la cybersécurité ce qui à eu pour conséquence un nombre accru de cyberattaques réussies dans leurs entreprises, d'après une nouvelle enquête de Delinea 47,3 % de la population mondiale est touchée par les restrictions relatives aux VPN, soit environ 3,7 milliards de personnes, les pays situés en Asie sont les principaux concernés, selon Surfshark Google va supprimer les comptes inactifs depuis deux ans pour renforcer la sécurité et annonce la mise à jour des règles relatives aux comptes inactifs