Google vient de prendre une décision controversée. D’après plusieurs experts en sécurité informatique, celle-ci risque de mettre en danger les internautes tout en fournissant de nouvelles armes aux hackers…
Début du mois, Google a annoncé huit nouveaux noms de domaine de premier niveau, à savoir .dad, .phd, .prof, .esq, .foo, .zip, .mov et .nexus. Il s’agit de la partie qui se situe juste après le point, comme .com ou .fr par exemple.
Today, Google Registry is launching eight new top-level domains: .dad, .phd, .prof, .esq, .foo, .zip, .mov and .nexus. Learn more ↓ https://t.co/3AffFnPhYu
— Google (@Google) May 3, 2023
Deux des nouveaux noms, .zip et .mov, acquis par Google en 2014 et mis à disposition du public ce mois-ci, sèment actuellement l’inquiétude parmi les experts en cybersécurité. Aux dires de plusieurs experts, ces deux noms de domaine représentent un grand danger pour les internautes.
Les deux noms sont également utilisés comme des extensions de fichier. Un fichier .zip est un format indiquant d’un fichier, comme photo, vidéo ou un PDF par exemple, a été compressé. Pour accéder aux données contenues, il faut le décompresser. De son côté, le .mov est une extension courante pour les vidéos, généralement de grande taille et de qualité élevée.
À lire aussi : Snake, le redoutable malware espion de la Russie, a été détruit, 20 ans après sa création
Google sème le chaos en ligne
Comme le rapporte Bleeping Computer, ces noms permettent à un pirate de faire passer de sites web, potentiellement malveillants, pour des fichiers envoyés en ligne. En jouant sur la confusion générée par Google, des attaquants pourraient relayer leurs victimes sur des sites de phishing ou des sites conçus pour injecter un logiciel malveillant.
« Je pense que c’est stupide et crée inutilement de la confusion et laissera place à divers schémas de phishing », estime SwiftOnSecurity, un expert en sécurité informatique anonyme, très actif sur Twitter.
Regarding the .zip domains I complained about – I think it’s dumb and unnecessarily creates confusion and will leave to various minor phishing schemes/tricks/address-confusion attacks… but it’s just going to get forced into being another TLD. It just feels uniquely unneeded.
— SwiftOnSecurity (@SwiftOnSecurity) May 12, 2023
De plus, certaines plates-formes, comme Twitter, vont automatiquement convertir des instructions de téléchargement, comportant un .mov ou un .zip, en liens cliquables. Ces liens vont directement relayer les utilisateurs, à la recherche du fichier qu’ils souhaitent télécharger, sur des sites inconnus.
Pour piéger un internaute, un pirate n’aurait qu’à s’acheter un nom de domaine en .zip ou en .mov reprenant le nom d’un fichier ou d’un logiciel à télécharger. On imagine par exemple qu’un cybercriminel pourrait lancer des sites dédiés au téléchargement d’un film populaire, comme Gardiensdelagalaxie3.mov, ou un logiciel phare, comme Photoshop.zip. Pour les pirates, ces noms de domaine ouvrent d’innombrables possibilités.
— 🧗♂️ Matt Holt (@mholt6) May 12, 2023
Plus de 1200 noms de domaine déposés
D’après l’Internet Storm Center, une division du SANS Institute qui surveille le niveau d’activité malveillante en ligne, plus de 1200 noms de domaine .zip ou .mov ont été déposés en l’espace de deux semaines. Une partie de ceux-ci ont déjà été utilisés dans le cadre de campagnes de phishing. Pour l’Internet Storm Center, le .zip « offre des opportunités créatives pour distribuer des logiciels malveillants ».
Selon le blog Ghacks de Martin Brinkmann, des noms comme officeupdate.zip ou microsoft-office.zip ont déjà été exploités par les pirates. Ces noms laissent penser aux internautes qu’il s’agit d’un fichier compressé permettant d’installer la Suite Office. Lorsqu’on se rend sur le site, on tombe sur un écran de connexion qui réclame les identifiants Microsoft du visiteur… C’est là que le piège se referme.
Some recently registered .ZIP domains 🤭 pic.twitter.com/rxEUa9D6iQ
— Germán Fernández (@1ZRR4H) May 14, 2023
Plusieurs initiatives de ce genre ont été recensées parmi les noms de domaine déposés, note Germán Fernández, chercheur en sécurité informatique, sur Twitter. Des individus ont d’ailleurs déposé Photoshopcracked.zip, vraisemblablement dans le but de berner les internautes qui cherchent à installer gratuitement le logiciel de retouche d’Adobe.
Face aux craintes suscitées, l’Internet Storm Center recommande de bloquer l’accès aux domaines en .zip. Une pétition allant dans le même sens a aussi été mise en ligne sur Github par le développeur open source Matt Holt. Celui-ci demande à que .mov et .zip soient bannis de la liste des suffixes publics, créée par Mozilla. Cette liste comprend tous les noms de domaine à être intégrés aux applications et navigateurs.
Google répond
Contacté par BleepingComputer, Google tempère les inquiétudes des experts. Tout en rappelant que « le risque de confusion entre les noms de domaine et les noms de fichiers n’est pas nouveau », Google assure avoir pris des mesures d’atténuation contre les attaques.
« Google prend le phishing et les logiciels malveillants au sérieux et le registre Google dispose de mécanismes existants pour suspendre ou supprimer les domaines malveillants. […] Nous continuerons à surveiller l’utilisation de .zip et d’autres noms de domaine et si de nouvelles menaces apparaissent, nous prendrons les mesures appropriées pour protéger les utilisateurs ».
En miroir de Google, certains experts de la sécurité considèrent les inquiétudes de leurs pairs comme exagérées. C’est le cas de Jothan Frakes, le responsable de la liste des suffixes publics. Il assure que les noms de domaine ne seront pas exclus du répertoire.
Source :
Bleeping Computer