Google introduit les domaines de premier niveau .zip et .mov et suscite des préoccupations en matière de sécurité sur Internet,

Ils pourraient être utilisés dans des attaques par hameçonnage

Google introduit les domaines de premier niveau .zip et .mov et suscite des préoccupations en matière de sécurité sur Internet
ils pourraient être utilisés dans des attaques par hameçonnage

Google a introduit au début du mois de nouveaux domaines de premier niveau ou TLD (top-level domain), dont .zip et .mov. Cependant, ces deux domaines suscitent des préoccupations en matière de sécurité en raison de leur ressemblance évidente avec les extensions de fichiers Zip (archive Zip) et Mov (fichier vidéo), qui sont extrêmement populaires aujourd'hui. Les chercheurs craignent qu'un malfaiteur utilise ces TLD pour tromper les gens en leur faisant visiter un site Web malveillant au lieu d'ouvrir un fichier, entre autres scénarios de menace. Certains estiment que ces nouveaux TLD sont susceptibles de faciliter les attaques par hameçonnage.

Google a introduit au total huit nouveaux domaines TLD, notamment .dad, .phd, .prof, .esq, .foo, .zip, .mov et .nexus. Cependant, des chercheurs en cybersécurité et des administrateurs système ont exprimé leur inquiétude au sujet des domaines .zip et .mov de Google, avertissant que des acteurs menaçants pourraient les utiliser pour des attaques d’hameçonnage et la diffusion de logiciels malveillants. Bien que les domaines de premier niveau .zip et .mov soient disponibles depuis 2014, ce n'est que ce mois-ci qu'ils sont devenus généralement disponibles, permettant à n'importe qui d'acheter un domaine, comme "developpez.zip", pour un site Web.

Alors que les spécialistes du marketing de Google affirment que l'objectif est de désigner respectivement "lier des choses ensemble ou aller très vite" et "des images en mouvement et tout ce qui vous émeut", ces suffixes sont déjà largement utilisés pour désigner quelque chose de tout à fait différent. Plus précisément, .zip est une extension utilisée dans les fichiers d'archives qui utilisent un format de compression connu sous le nom de zip. Le format .mov, quant à lui, apparaît à la fin des fichiers vidéo, généralement lorsqu'ils ont été créés dans le format QuickTime d'Apple. Par conséquent, ces deux nouveaux domaines pourraient prêter à confusion.


En effet, il est très fréquent que des personnes publient en ligne (forums de discussion, sites de téléchargement, etc.) des instructions contenant des noms de fichiers portant les extensions .zip et .mov. Et de nombreux sites et logiciels convertissent automatiquement des chaînes de caractères telles que "developpez.com" ou en une URL qui, lorsqu'elle est cliquée, conduit l'utilisateur au domaine correspondant. La crainte est que les courriels et les messages sur les forums qui font référence à un fichier tel que "setup.zip" ou "vacation.mov" les transforment automatiquement en liens cliquables, et que les acteurs de la menace profitent de l'ambiguïté.

Par exemple, un escroc contrôlant le domaine photos.zip pourrait exploiter l'habitude prise depuis des décennies par les internautes d'archiver un ensemble de photos dans un fichier Zip, puis de les partager dans un courrier électronique ou sur les médias sociaux. Plutôt que de rendre photos.zip en texte clair, ce qui aurait été le cas avant la décision de Google, de nombreux sites et applications les convertissent désormais en domaine cliquable. Un internaute qui pense accéder aux archives de photos d'une personne qu'il connaît peut se retrouver sur un site créé par des escrocs et qui déclenche automatiquement le téléchargement d'un fichier malveillant.

S'il est très peu probable que des acteurs de la menace enregistrent des milliers de domaines pour capturer quelques victimes, il suffit qu'un employé d'une entreprise installe par erreur un logiciel malveillant pour qu'un réseau entier soit affecté. L'utilisation abusive de ces domaines n'est pas théorique : la société de cyberespionnage Silent Push Labs a déjà découvert ce qui semble être une page d'hameçonnage sur microsoft-office[.]zip qui tente de voler les informations d'identification du compte Microsoft. Plusieurs sites nouvellement créés par les chercheurs en cybersécurité montrent à quoi peut ressembler ce tour de passe-passe.


Le chercheur en cybersécurité Bobby Rauch a publié une étude selon laquelle en abusant d'un comportement connu de Chrome - que Google a apparemment décidé de ne pas corriger - il est possible de construire une URL avec un caractère Unicode qui s'affiche comme une barre oblique - U+2215 (∕. Mais il n'est pas traité comme une barre oblique lorsque le navigateur récupère l'URL. Et en ajoutant l'opérateur @ dans l'URL, ce lien :


est traité comme :


Les utilisateurs avertis remarqueraient probablement le caractère @ et y réfléchiraient à deux fois avant de cliquer sur l'URL, mais ils ne remarqueraient peut-être pas le caractère Unicode U+2215, qui tente de se faire passer pour une barre oblique. Comme le note Rauch, la plupart des navigateurs modernes ne tiennent pas compte des informations précédant le symbole @ et n'écoutent que le nom d'hôte qui le suit. En d'autres termes, si vous insérez "https://google.com@bing.com", la plupart des navigateurs vous dirigeront vers bing.com. En revanche, si vous ajoutez des barres obliques dans l'URL avant le symbole @, c'est l'inverse qui se produit.

Ainsi, cette URL "https://google.com/search@bing.com" vous renvoie à Google. C'est là qu'interviennent les caractères Unicode U+2215 et U+2044. Ils ressemblent beaucoup à des barres obliques, mais ce n'est pas le cas. Et ils sont pris en charge dans les noms d'hôte. Selon le chercheur en cybersécurité, cela signifie que vous pouvez créer une fausse URL qui semble assez authentique et qui peut envoyer un internaute vers une URL .zip douteuse prétendant être un nom de domaine légitime. Ce domaine pourrait alors héberger un véritable fichier Zip contenant à peu près n'importe quoi, y compris des logiciels malveillants.


Cependant, les chercheurs en cybersécurité ne partagent pas le même sur les nouveaux domaines .zip et .mov. Eric Lawrence, membre de l'équipe de développement de Microsoft Edge, a déclaré qu'il pensait que les craintes concernant ces nouveaux domaines étaient exagérées. Troy Hunt, un autre employé de Microsoft et créateur du site HaveIBeenPwned, estime qu'il n'y a pas lieu de s'inquiéter. Il revient sur l'argument selon lequel les humains sont "mauvais en matière d'URL et les TLD n'ont pas d'importance". Hunt suggère que la plupart des gens n'ont aucune idée lorsqu'on leur présente une URL délibérément trompeuse.

Selon lui, cela arrive dans la grande majorité des cas, que le fichier ressemble ou non à un fichier Zip. Cependant, la plupart des personnes ayant dit que les domaines .zip et .mov ne représentent pas un problème crucial semblent être des chercheurs en cybersécurité. Ces derniers sont en mesure de reconnaître les URL douteuses et les éviter ou prendre les mesures adéquates pour les signaler. Le problème concerne les utilisateurs d'Internet les moins avertis. Le Zip est un format de fichier devenu tellement populaire qu'il semble inutilement déroutant d'en faire également un domaine Web. Sur ce point, Google dit avoir pris les précautions nécessaires.

« Le risque de confusion entre les noms de domaine et les noms de fichier n'est pas nouveau. Par exemple, les produits Command de 3M utilisent le nom de domaine command.com, qui est également un programme important de MS DOS et des premières versions de Windows. Les applications disposent de mesures d'atténuation (telles que Google Safe Browsing), et ces mesures s'appliqueront également aux TLD tels que .zip. Dans le même temps, de nouveaux espaces de nommage offrent de nouvelles possibilités de dénomination, comme community.zip et url.zip », a écrit dans un courriel en réponse aux demandes de commentaires.


« Google prend très au sérieux l’hameçonnage et les logiciels malveillants, et le registre Google dispose de mécanismes permettant de suspendre ou de supprimer les domaines malveillants dans tous nos TLD, y compris le .zip. Nous continuerons à surveiller l'utilisation de .zip et d'autres TLD et si de nouvelles menaces apparaissent, nous prendrons les mesures nécessaires pour protéger les utilisateurs », a ajouté l'entreprise. Du côté des internautes, ils ne peuvent rien faire de plus que ce qu'ils font déjà pour se protéger des sites d’hameçonnage. Comme tout le monde devrait déjà le savoir, il n'est jamais prudent de cliquer sur des liens douteux.

Ils doivent également rester attentifs aux faux caractères dans les URL, aux domaines comportant des symboles @ suivis de fichiers Zip, et être prudents lorsqu'ils téléchargent des fichiers...