Google a introduit au dbut du mois de nouveaux domaines de premier niveau ou TLD (top-level domain), dont .zip et .mov. Cependant, ces deux domaines suscitent des proccupations en matire de scurit en raison de leur ressemblance vidente avec les extensions de fichiers Zip (archive Zip) et Mov (fichier vido), qui sont extrmement populaires aujourd’hui. Les chercheurs craignent qu’un malfaiteur utilise ces TLD pour tromper les gens en leur faisant visiter un site Web malveillant au lieu d’ouvrir un fichier, entre autres scnarios de menace. Certains estiment que ces nouveaux TLD sont susceptibles de faciliter les attaques par hameonnage.
Google a introduit au total huit nouveaux domaines TLD, notamment .dad, .phd, .prof, .esq, .foo, .zip, .mov et .nexus. Cependant, des chercheurs en cyberscurit et des administrateurs systme ont exprim leur inquitude au sujet des domaines .zip et .mov de Google, avertissant que des acteurs menaants pourraient les utiliser pour des attaques dhameonnage et la diffusion de logiciels malveillants. Bien que les domaines de premier niveau .zip et .mov soient disponibles depuis 2014, ce n’est que ce mois-ci qu’ils sont devenus gnralement disponibles, permettant n’importe qui d’acheter un domaine, comme « developpez.zip », pour un site Web.
Alors que les spcialistes du marketing de Google affirment que l’objectif est de dsigner respectivement « lier des choses ensemble ou aller trs vite » et « des images en mouvement et tout ce qui vous meut », ces suffixes sont dj largement utiliss pour dsigner quelque chose de tout fait diffrent. Plus prcisment, .zip est une extension utilise dans les fichiers d’archives qui utilisent un format de compression connu sous le nom de zip. Le format .mov, quant lui, apparat la fin des fichiers vido, gnralement lorsqu’ils ont t crs dans le format QuickTime d’Apple. Par consquent, ces deux nouveaux domaines pourraient prter confusion.
En effet, il est trs frquent que des personnes publient en ligne (forums de discussion, sites de tlchargement, etc.) des instructions contenant des noms de fichiers portant les extensions .zip et .mov. Et de nombreux sites et logiciels convertissent automatiquement des chanes de caractres telles que « developpez.com » ou en une URL qui, lorsqu’elle est clique, conduit l’utilisateur au domaine correspondant. La crainte est que les courriels et les messages sur les forums qui font rfrence un fichier tel que « setup.zip » ou « vacation.mov » les transforment automatiquement en liens cliquables, et que les acteurs de la menace profitent de l’ambigut.
Par exemple, un escroc contrlant le domaine photos.zip pourrait exploiter l’habitude prise depuis des dcennies par les internautes d’archiver un ensemble de photos dans un fichier Zip, puis de les partager dans un courrier lectronique ou sur les mdias sociaux. Plutt que de rendre photos.zip en texte clair, ce qui aurait t le cas avant la dcision de Google, de nombreux sites et applications les convertissent dsormais en domaine cliquable. Un internaute qui pense accder aux archives de photos d’une personne qu’il connat peut se retrouver sur un site cr par des escrocs et qui dclenche automatiquement le tlchargement d’un fichier malveillant.
S’il est trs peu probable que des acteurs de la menace enregistrent des milliers de domaines pour capturer quelques victimes, il suffit qu’un employ d’une entreprise installe par erreur un logiciel malveillant pour qu’un rseau entier soit affect. L’utilisation abusive de ces domaines n’est pas thorique : la socit de cyberespionnage Silent Push Labs a dj dcouvert ce qui semble tre une page d’hameonnage sur microsoft-office[.]zip qui tente de voler les informations d’identification du compte Microsoft. Plusieurs sites nouvellement crs par les chercheurs en cyberscurit montrent quoi peut ressembler ce tour de passe-passe.
Regarding the .zip domains I complained about I think it’s dumb and unnecessarily creates confusion and will leave to various minor phishing schemes/tricks/address-confusion attacks… but it’s just going to get forced into being another TLD. It just feels uniquely unneeded.
— SwiftOnSecurity (@SwiftOnSecurity) May 12, 2023
Le chercheur en cyberscurit Bobby Rauch a publi une tude selon laquelle en abusant d’un comportement connu de Chrome – que Google a apparemment dcid de ne pas corriger – il est possible de construire une URL avec un caractre Unicode qui s’affiche comme une barre oblique – U+2215 (∕). Mais il n’est pas trait comme une barre oblique lorsque le navigateur rcupre l’URL. Et en ajoutant l’oprateur @ dans l’URL, ce lien :
est trait comme :Les utilisateurs avertis remarqueraient probablement le caractre @ et y rflchiraient deux fois avant de cliquer sur l’URL, mais ils ne remarqueraient peut-tre pas le caractre Unicode U+2215, qui tente de se faire passer pour une barre oblique. Comme le note Rauch, la plupart des navigateurs modernes ne tiennent pas compte des informations prcdant le symbole @ et n’coutent que le nom d’hte qui le suit. En d’autres termes, si vous insrez « https://google.com@bing.com », la plupart des navigateurs vous dirigeront vers bing.com. En revanche, si vous ajoutez des barres obliques dans l’URL avant le symbole @, c’est l’inverse qui se produit.
Ainsi, cette URL « https://google.com/search@bing.com » vous renvoie Google. C’est l qu’interviennent les caractres Unicode U+2215 et U+2044. Ils ressemblent beaucoup des barres obliques, mais ce n’est pas le cas. Et ils sont pris en charge dans les noms d’hte. Selon le chercheur en cyberscurit, cela signifie que vous pouvez crer une fausse URL qui semble assez authentique et qui peut envoyer un internaute vers une URL .zip douteuse prtendant tre un nom de domaine lgitime. Ce domaine pourrait alors hberger un vritable fichier Zip contenant peu prs n’importe quoi, y compris des logiciels malveillants.
This is interesting reading regarding the .zip TLD. However, it’s of near zero consequence to phishing attacks, read it first then I’ll explain: https://t.co/RoN3L2m61o
— Troy Hunt (@troyhunt) May 17, 2023
Cependant, les chercheurs en cyberscurit ne partagent pas le mme sur les nouveaux domaines .zip et .mov. Eric Lawrence, membre de l’quipe de dveloppement de Microsoft Edge, a dclar qu’il pensait que les craintes concernant ces nouveaux domaines taient exagres. Troy Hunt, un autre employ de Microsoft et crateur du site HaveIBeenPwned, estime qu’il n’y a pas lieu de s’inquiter. Il revient sur l’argument selon lequel les humains sont « mauvais en matire d’URL et les TLD n’ont pas d’importance ». Hunt suggre que la plupart des gens n’ont aucune ide lorsqu’on leur prsente une URL dlibrment trompeuse.
Selon lui, cela arrive dans la grande majorit des cas, que le fichier ressemble ou non un fichier Zip. Cependant, la plupart des personnes ayant dit que les domaines .zip et .mov ne reprsentent pas un problme crucial semblent tre des chercheurs en cyberscurit. Ces derniers sont en mesure de reconnatre les URL douteuses et les viter ou prendre les mesures adquates pour les signaler. Le problme concerne les utilisateurs d’Internet les moins avertis. Le Zip est un format de fichier devenu tellement populaire qu’il semble inutilement droutant d’en faire galement un domaine Web. Sur ce point, Google dit avoir pris les prcautions ncessaires.
Le risque de confusion entre les noms de domaine et les noms de fichier n’est pas nouveau. Par exemple, les produits Command de 3M utilisent le nom de domaine command.com, qui est galement un programme important de MS DOS et des premires versions de Windows. Les applications disposent de mesures d’attnuation (telles que Google Safe Browsing), et ces mesures s’appliqueront galement aux TLD tels que .zip. Dans le mme temps, de nouveaux espaces de nommage offrent de nouvelles possibilits de dnomination, comme community.zip et url.zip , a crit dans un courriel en rponse aux demandes de commentaires.
Those Google blog URLs have no funny chars, no homoglyphs and definitely no new TLDs (not new in recent years, at least). They’re from @emschec‘s 2018 talk abut the trouble with URLs and we, as humans, don’t understand site identity. Deep link to the vid: https://t.co/1SqKI2KWju
— Troy Hunt (@troyhunt) May 17, 2023
Google prend trs au srieux lhameonnage et les logiciels malveillants, et le registre Google dispose de mcanismes permettant de suspendre ou de supprimer les domaines malveillants dans tous nos TLD, y compris le .zip. Nous continuerons surveiller l’utilisation de .zip et d’autres TLD et si de nouvelles menaces apparaissent, nous prendrons les mesures ncessaires pour protger les utilisateurs , a ajout l’entreprise. Du ct des internautes, ils ne peuvent rien faire de plus que ce qu’ils font dj pour se protger des sites dhameonnage. Comme tout le monde devrait dj le savoir, il n’est jamais prudent de cliquer sur des liens douteux.
Ils doivent galement rester attentifs aux faux caractres dans les URL, aux domaines comportant des symboles @ suivis de fichiers Zip, et tre prudents lorsqu’ils tlchargent des fichiers envoys par des destinataires inconnus. En fait, ce dernier conseil est important pour viter de se faire hameonner. Les escroqueries prtendant provenir d’entreprises ou de services connus, voire de personnes que vous connaissez, sont parmi les plus dangereuses. Maintenant que les nouveaux TLD de Google sont disponibles, les ingnieurs qui supervisent les conventions d’attribution des noms de domaine dbattent de la marche suivre.
L’un d’entre eux a rcemment demand que .zip et .mov soient retirs de la liste publique des suffixes (PSL), une liste lisible par machine et gre par la communaut, qui rpertorie tous les suffixes publics DNS connus et les rgles qui s’y rapportent. L’objectif de la PSL est de veiller ce que les navigateurs et autres applications traitent les noms de domaine d’une manire qui favorise la scurit et la stabilit d’Internet. Cependant, plusieurs ingnieurs qui ont rpondu se sont opposs la proposition, principalement parce que la suppression des TLD approuvs par l’ICANN crerait de l’instabilit et irait l’encontre de l’objectif de la PSL.
Sources : billet de blogue, Google
Et vous ?
Quel est votre avis sur le sujet ?
Que pensez-vous de l’introduction des domaines .zip et .mov ?
Partagez-vous l’avis selon lequel ces domaines reprsentent un risque de scurit ?
Que pensez-vous de la rponse de Google aux proccupations des chercheurs en cyberscurit ?
Voir aussi