Google pousse les domaines .zip et .mov sur Internet, et Internet les repousse
Aurich Lawson | Getty Images
Une décision récente de Google visant à doter Internet de huit nouveaux domaines de premier niveau suscite des inquiétudes quant au fait que deux de ces ajouts pourraient être une aubaine pour les escrocs en ligne qui incitent les gens à cliquer sur des liens malveillants.
Fréquemment abrégé en TLD, un domaine de premier niveau est le segment le plus à droite d’un nom de domaine. Au début d’Internet, ils aidaient à classer l’objectif, la région géographique ou l’opérateur d’un domaine donné. Le TLD .com correspondait par exemple aux sites gérés par des entités commerciales, le .org était utilisé pour les organisations à but non lucratif, le .net pour les entités Internet ou les réseaux, le .edu pour les écoles et universités, etc. Il existe également des codes de pays, tels que .uk pour le Royaume-Uni, .ng pour le Nigeria et .fj pour Fidji. L’une des premières communautés Internet, The WELL, était accessible à l’adresse www.well.sf.ca.us.
Depuis, les organisations régissant les domaines Internet ont déployé des milliers de nouveaux TLD. Il y a deux semaines, Google a ajouté huit nouveaux TLD sur Internet, portant le nombre total de TLD à 1 480, selon l’Internet Assigned Numbers Authority, l’organisme directeur qui supervise la racine DNS, l’adressage IP et d’autres ressources de protocole Internet.
Deux des nouveaux TLD de Google, .zip et .mov, ont suscité le mépris dans certains cercles de sécurité. Alors que les spécialistes du marketing de Google disent que l’objectif est de désigner respectivement le fait de lier des choses ou de se déplacer très rapidement et des images animées et tout ce qui vous émeut, ces suffixes sont déjà largement utilisés pour désigner quelque chose de complètement différent. Plus précisément, .zip est une extension utilisée dans les fichiers d’archives qui utilisent un format de compression appelé zip. Le format .mov, quant à lui, apparaît à la fin des fichiers vidéo, généralement lorsqu’ils ont été créés au format QuickTime d’Apple.
De nombreux professionnels de la sécurité préviennent que ces deux TLD risquent de semer la confusion lorsqu’ils seront affichés dans les e-mails, sur les réseaux sociaux et ailleurs. La raison en est que de nombreux sites et logiciels convertissent automatiquement des chaînes telles que « arstechnica.com » ou « mastodon.social » en une URL qui, lorsqu’elle clique dessus, dirige l’utilisateur vers le domaine correspondant. Le problème est que les e-mails et les publications sur les réseaux sociaux faisant référence à un fichier tel que setup.zip ou vacation.mov les transformeront automatiquement en liens cliquables et que les escrocs saisiront cette ambiguïté.
Les acteurs malveillants peuvent facilement enregistrer des noms de domaine susceptibles d’être utilisés par d’autres personnes pour faire référence à des noms de fichiers, a écrit Randy Pargman, directeur de la détection des menaces chez la société de sécurité Proofpoint, dans un e-mail. Ils peuvent ensuite utiliser ces conversations que l’auteur de la menace n’a même pas eu besoin d’initier (ou auxquelles participer) pour inciter les gens à cliquer et à télécharger du contenu malveillant.
Annuler des années de sensibilisation à la lutte contre le phishing et la tromperie
Un escroc contrôlant le domaine photos.zip, par exemple, pourrait exploiter l’habitude de plusieurs décennies selon laquelle les gens archivent un ensemble d’images dans un fichier zip, puis les partagent dans un e-mail ou sur les réseaux sociaux. Plutôt que d’afficher photos.zip sous forme de texte brut, ce qui aurait été le cas avant le déménagement de Google, de nombreux sites et applications les convertissent désormais en un domaine cliquable. Un utilisateur qui pense accéder aux archives de photos d’une personne qu’il connaît pourrait être redirigé vers un site Web créé par des fraudeurs.
Les fraudeurs pourraient facilement le configurer pour qu’il télécharge un fichier zip chaque fois que quelqu’un visite la page et inclue tout contenu de son choix dans le fichier zip, tel qu’un logiciel malveillant », a déclaré Pargman.
Plusieurs sites nouvellement créés montrent à quoi pourrait ressembler ce tour de passe-passe. Parmi eux figurent setup.zip et steaminstaller.zip, qui utilisent des noms de domaine qui font généralement référence aux conventions de dénomination des fichiers d’installation. clientdocs.zip est particulièrement poignant, un site qui télécharge automatiquement un script bash qui se lit comme suit :
#! /bin/bash echo IAMHAVINGFUNONLINEIAMHAVINGFUNONLINEIAMHAVINGFUNONLINEIAMHAVINGFUNONLINEIAMHAVINGFUNONLINEIAMHAVINGFUNONLINE
Il n’est pas difficile d’imaginer des acteurs malveillants utiliser cette technique d’une manière qui n’est pas aussi comique.
L’avantage pour l’auteur de la menace est qu’il n’a même pas eu besoin d’envoyer des messages pour inciter les victimes potentielles à cliquer sur le lien. Il lui a simplement suffi d’enregistrer le domaine, de configurer le site Web pour qu’il diffuse du contenu malveillant et d’attendre passivement que des personnes créent accidentellement des liens. à leur contenu, a écrit Pargman. Les liens semblent beaucoup plus fiables car ils proviennent du contexte de messages ou de publications provenant d’un expéditeur de confiance.