Les noms des sites se terminent généralement par .com, .org, .net, etc. Pourtant, de nouvelles extensions de domaines (.aero, .club et autres) ont fait leur apparition au cours de ces dernières années. Ces extensions sont connues comme les domaines de premier niveau (TLD) et la liste, déjà longue, ne cesse de s’allonger avec de nouveaux ajouts de temps à autre. Google a annoncé en mai que huit nouveaux domaines étaient disponibles, dont deux qui rappellent indéniablement les célèbres extensions de fichiers .zip et .mov. Cette action a été fortement critiquée par les experts en informatique et en sécurité informatique puisqu’elle garantit à coup sûr une confusion, l’apparition de liens qui cherchent à causer des dégâts et des nouvelles stratégies d’hameçonnage.
Comment ne pas confondre .zip et .zip
Les fichiers ZIP et MOV existent depuis des dizaines d’années : .zip est le format de facto des archives et .mov est un des conteneurs vidéo les plus populaires. Google a créé les nouveaux domaines ZIP et MOV pour les geeks, mais n’importe qui peut y accéder et les utiliser comme bon leur semble.
Désormais, seul le contexte peut vous permettre de savoir si ZIP ou MOV est un site ou un fichier lorsque vous trouvez update.zip sur Internet, par exemple. Le contexte est un élément que l’être humain peut saisir, mais pas un ordinateur. C’est pourquoi une référence de ce genre pourrait être à l’origine de certains problèmes pour toutes les applications, comme Twitter :
Il est évident que le tweet parle de fichiers. Pourtant, Twitter a converti les noms des fichiers en liens. Si quelqu’un enregistre les domaines test.zip et movie.mov, les personnes qui cliquent sur les liens qui sont les noms des fichiers pourraient être victimes d’une certaine technique d’hameçonnage.
Cet article explique en détail comment l’utilisation du domaine .zip et de caractères Unicode similaires à la barre oblique (/) dans le lien permet de créer des URLs d’hameçonnage exceptionnellement convaincantes et difficiles à différencier des liens légitimes que l’on trouve sur GitHub.
Le chercheur en sécurité mr.d0x a trouvé une autre façon d’exploiter le domaine .zip à des fins d’hameçonnage. La technique qu’il décrit, surnommée file-archiver-in-the-browser, implique l’utilisation de sites qui imitent l’interface de l’outil d’archivage. L’utilisateur pense qu’il ouvre un fichier .zip alors qu’il est redirigé vers un site du même nom et qu’au lieu de la liste des fichiers contenus il voit des URLs qui peuvent ouvrir tout et n’importe quoi. Par exemple, il peut s’agir d’un lien qui télécharge un programme malveillant exécutable ou qui ouvre un formulaire qui demande de saisir les identifiants professionnels afin d’accéder au document. Ce rapport décrit aussi un mécanisme de livraison intéressant à l’aide de l’explorateur de fichiers Windows. Si le cybercriminel arrive à convaincre la victime de chercher un fichier .zip qui n’existe pas, l’explorateur de fichiers va automatiquement ouvrir le site dont le domaine a le même nom que le fichier.
Cette menace d’hameçonnage est réelle puisque certains sites d’hameçonnage .zip qui exploitent le sujet des mises à jour Windows ont déjà été détectés.
Il convient de souligner que ce n’est pas la première fois que nous voyons une telle confusion. Un des domaines originaux, .com, est aussi l’extension légitime de fichiers exécutables et est activement utilisée par le système d’exploitation MS-DOS (et les versions plus anciennes de Windows). D’autre part, l’extension .sh, utilisée pour les scripts Unix, est identique au domaine de premier niveau du territoire britannique d’outre-mer qu’est l’île Sainte-Hélène, Ascension et Tristan da Cunha. Il s’agit tout de même de ZIP et MOV, des formats populaires auprès d’une audience qui n’a pas de connaissances techniques et qui pourraient causer des problèmes aux utilisateurs et aux administrateurs système. Même si vous laissez l’hameçonnage de côté pendant un instant, vous pourriez rencontrer des situations similaires à celle du tweet ci-dessus puisque de nombreuses applications traitent automatiquement le texte et soulignent les liens. Ainsi, à tout moment, n’importe quel texte qui contient le nom d’un fichier pourrait se transformer en un contenu avec un lien hypertexte qui ouvre un site externe. Qu’il s’agisse d’un site d’hameçonnage ou pas, cette action pourrait ¡ occasionner des désagréments ou au moins une certaine confusion. Visitez financialstatement.zip pour vous faire une idée.
Quelques conseils pour les utilisateurs
L’apparition des domaines ZIP et MOV ne va pas radicalement changer l’écosystème de l’hameçonnage et des arnaques en ligne ; c’est juste que les cybercriminels ajoutent une corde à leur arc. Ainsi, les conseils anti-hameçonnage que nous vous donnons habituellement restent les mêmes : analysez minutieusement les liens avant de cliquer, méfiez-vous des pièces jointes et des URLs d’e-mails que vous n’attendiez pas, ne cliquez pas sur les liens suspects et assurez-vous d’avoir une bonne solution de sécurité sur tous vos dispositifs, y compris les smartphones et les ordinateurs Mac.
Quelques conseils pour les administrateurs
Certains utilisateurs vont sûrement ignorer les conseils donnés ci-dessus. Selon le fonctionnement de votre entreprise, vous devrez peut-être configurer de nouvelles règles de sécurité pour les noms de domaine .zip et .mov. Certaines mesures consistent à analyser les liens de façon plus rigoureuse ou encore d’empêcher les utilisateurs de visiter les sites ayant ces noms de domaine depuis leur ordinateur professionnel. Ce n’est pas une première : le domaine .bit a été largement bloqué et a progressivement disparu à cause d’un déluge de liens malveillants en 2018-2019.
L’arrivée des domaines ZIP et MOV est l’occasion parfaite pour former les employés en sécurité informatique, ou pour refaire la formation, et pour se concentrer sur la détection de l’hameçonnage.
Nous conseillons aux administrateurs informatiques de tester tous les systèmes clés de l’entreprise qui traitent les liens pour voir comment ils gèrent les sites .zip et .mov, et si l’utilisation des fichiers ZIP a des effets indésirables. Les systèmes de messagerie, les applications professionnelles de messagerie instantanée et les services de partage des fichiers que les employés utilisent doivent être surveillés de très près puisque c’est là que les doutes vont apparaître. Les fonctionnalités indésirables, comme la création automatique de liens à partir d’un schéma concret de nom, peuvent être désactivées pour ZIP et MOV, ou de façon générale.