Les chercheurs en cybersécurité et les administrateurs informatiques ont fait part de leurs inquiétudes concernant les nouveaux domaines Internet ZIP et MOV de Google, avertissant que les acteurs de la menace pourraient les utiliser pour des attaques de phishing et la diffusion de logiciels malveillants.

Plus tôt ce mois-ci, Google a présenté huit nouveaux domaines de premier niveau (TLD) pouvant être achetés pour héberger des sites Web ou des adresses e-mail.

Les nouveaux domaines sont .dad, .esq, .prof, .phd, .nexus, .foo, et pour le sujet de notre article, les TLD de domaine .zip et .mov.

Bien que les TLD ZIP et MOV soient disponibles depuis 2014, ce n’est que ce mois-ci qu’ils sont devenus généralement disponibles, permettant à quiconque d’acheter un domaine, comme Breachtrace .zip, pour un site Web.

Cependant, ces domaines pourraient être perçus comme risqués car les TLD sont également des extensions de fichiers couramment partagés dans les messages, les messages et les discussions en ligne des forums, qui seront désormais automatiquement convertis en URL par certaines plateformes ou applications en ligne.

La préoccupation
Deux types de fichiers courants vus en ligne sont les archives ZIP et les vidéos MPEG 4, dont les noms de fichiers se terminent par .zip (archive ZIP) ou .mov (fichier vidéo).

Par conséquent, il est très courant que les gens publient des instructions contenant des noms de fichiers avec les extensions .zip et .mov.

Cependant, maintenant qu’il s’agit de TLD, certaines plateformes de messagerie et sites de médias sociaux convertissent automatiquement les noms de fichiers avec les extensions .zip et .mov en URL.

Par exemple, sur Twitter, si vous envoyez à quelqu’un des instructions sur l’ouverture d’un fichier zip et l’accès à un fichier MOV, les noms de fichiers anodins sont convertis en URL, comme indiqué ci-dessous.

Lorsque les gens voient des URL dans les instructions, ils pensent généralement que l’URL peut être utilisée pour télécharger le fichier associé et peuvent cliquer sur le lien. Par exemple, lier les noms de fichiers aux téléchargements est la façon dont nous fournissons généralement des instructions sur Breachtrace dans nos articles, tutoriels et forums de discussion.

Cependant, si un auteur de menaces possédait un domaine .zip portant le même nom qu’un nom de fichier lié, une personne peut visiter le site par erreur et tomber dans le piège d’une escroquerie par hameçonnage ou télécharger un logiciel malveillant, pensant que l’URL est sûre car elle provient d’une source fiable.

Bien qu’il soit très peu probable que les acteurs de la menace enregistrent des milliers de domaines pour capturer quelques victimes, il suffit qu’un seul employé de l’entreprise installe par erreur des logiciels malveillants pour qu’un réseau entier soit affecté.

L’abus de ces domaines n’est pas théorique, la société de cyber-intel Silent Push Labs ayant déjà découvert ce qui semble être une page de phishing sur microsoft-office[.]zip tentant de voler les informations d’identification du compte Microsoft.

Les chercheurs en cybersécurité ont également commencé à jouer avec les domaines, Bobby Rauch publiant des recherches sur le développement de liens de phishing convaincants utilisant des caractères Unicode et le délimiteur d’informations utilisateur (@) dans les URL.

Les recherches de Rauch montrent comment les pirates peuvent créer des URL de phishing qui ressemblent à des URL de téléchargement de fichiers légitimes sur GitHub, mais qui vous amènent en fait sur un site Web à l’adresse v1.27.1[.]zip lorsque vous cliquez dessus, comme illustré ci-dessous.

Des opinions contradictoires
Ces développements ont déclenché un débat parmi les développeurs, les chercheurs en sécurité et les administrateurs informatiques, certains estimant que les craintes ne sont pas justifiées et d’autres estimant que les TLD ZIP et MOV ajoutent un risque inutile à un environnement en ligne déjà risqué.

Les gens ont commencé à enregistrer des domaines .zip associés à des archives ZIP courantes, telles que update.zip, financialstatement.zip, setup.zip, attachment.zip, officeupdate.zip et backup.zip, pour afficher des informations sur les risques de ZIP. domaines, pour vous RickRoll ou pour partager des informations inoffensives.

Le développeur open source Matt Holt a également demandé que le TLD ZIP soit supprimé de la liste des suffixes publics de Mozilla, une liste de tous les domaines publics de premier niveau à incorporer dans les applications et les navigateurs.

Cependant, la communauté PSL a rapidement expliqué que bien qu’il puisse y avoir un léger risque associé à ces TLD, ils sont toujours valides et ne devraient pas être supprimés du PSL car cela affecterait le fonctionnement des sites légitimes.

« Supprimer les TLD existants de la PSL pour cette raison serait tout simplement une erreur. Cette liste est utilisée pour de nombreuses raisons différentes, et simplement parce que ces entrées sont mauvaises pour un cas d’utilisation très spécifique, elles sont toujours nécessaires pour (presque) tous les autres,  » a expliqué l’ingénieur logiciel Felix Fontein.

« Ce sont des TLD légitimes dans la racine ICP3. Cela ne se poursuivra pas », a ajouté Jothan Frakes, responsable de PSL.

« Vraiment, les préoccupations exprimées sont davantage un exemple flagrant de déconnexion entre la communauté des développeurs et de la sécurité et la gouvernance des noms de domaine, où ils bénéficieraient d’un plus grand engagement au sein de l’ICANN. »

Dans le même temps, d’autres chercheurs et développeurs en sécurité ont déclaré qu’ils pensaient que les craintes concernant ces nouveaux domaines étaient exagérées.

Lorsque Breachtrace a contacté Google à propos de ces préoccupations, ils ont déclaré que le risque de confusion entre les noms de fichiers et de domaine n’était pas nouveau et que des atténuations du navigateur étaient en place pour protéger les utilisateurs contre les abus.

« Le risque de confusion entre les noms de domaine et les noms de fichiers n’est pas nouveau. Par exemple, les produits Command de 3M utilisent le nom de domaine command.com, qui est également un programme important sur MS DOS et les premières versions de Windows. Les applications disposent d’atténuations pour cela (comme Google Safe Browsing), et ces atténuations seront valables pour les TLD tels que .zip.

Dans le même temps, de nouveaux espaces de noms offrent des possibilités étendues de dénomination telles que community.zip et url.zip. Google prend le phishing et les logiciels malveillants au sérieux et Google Registry dispose de mécanismes existants pour suspendre ou supprimer les domaines malveillants dans tous nos TLD, y compris .zip. Nous continuerons à surveiller l’utilisation de .zip et d’autres TLD et si de nouvelles menaces apparaissent, nous prendrons les mesures appropriées pour protéger les utilisateurs. » – Google.

Que devrais tu faire?
La réalité est que vous n’avez pas besoin de faire quoi que ce soit de plus que ce que vous faites déjà pour vous protéger des sites de phishing.

Comme tout le monde devrait déjà le savoir, il n’est jamais sûr de cliquer sur des liens provenant de personnes ou de télécharger des fichiers à partir de sites auxquels vous ne faites pas confiance.

Comme tout lien, si vous voyez un lien .zip ou .mov dans un message, recherchez-le avant de cliquer dessus. Si vous ne savez toujours pas si le lien est sûr, ne cliquez pas dessus.

En suivant ces étapes simples, l’impact des nouveaux TLD sera minime et n’augmentera pas significativement votre risque.

Cependant, l’exposition à ces liens augmentera probablement à mesure que de plus en plus d’applications transformeront automatiquement les noms de fichiers ZIP et MOV en liens, ce qui vous donnera une autre chose à laquelle faire attention lorsque vous êtes en ligne.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *