Google propose un nouveau domaine Web .zip pour les utilisateurs qui veulent que les gens sachent qu’ils sont « rapides, efficaces et prêts à se déplacer ». Cela semble généralement correct sur le papier, mais en raison des similitudes entre ce domaine et un format de fichier compressé populaire, on craint que cela ne devienne l’un des moyens les plus simples de duper les internautes pour qu’ils téléchargent des fichiers douteux.
Vous pouvez voir pourquoi il y a eu des inquiétudes concernant le nouveau domaine de premier niveau (TLD) .zip. Supposons que vous cherchiez à télécharger le logiciel CPU-Z, vous vous attendriez à atterrir sur le site Web CPUID à l’URL : www.cpuid.com/downloads/cpu-z/cpu-z.2.05-en.zip.
Ce que le nouveau TLD .zip de Google permettra, ce sont des liens qui semblent très similaires mais qui sont des dupes incroyablement dangereux. Par exemple, et ce lien ne va nulle part mais il n’est toujours pas nécessaire de l’essayer : www.cpuid.com/downloads/cpu-z∕@cpu-z.2.05-en.zip.
La plupart des utilisateurs avertis sur le Web remarqueront probablement le rogue @ et réfléchiront à deux fois avant de cliquer sur cette URL, mais vous ne remarquerez peut-être pas le caractère Unicode U + 2215, qui tente de se faire passer pour une barre oblique. Effronté.
Comme le souligne bobbyr, chercheur en sécurité, dans son article de blog Medium, la plupart des navigateurs modernes ignorent les informations avant le @ et n’écoutent que le nom d’hôte qui le suit. Cela signifie que si vous deviez mettre en https://[email protected], la plupart des navigateurs vous dirigeront vers bing.com. Si vous deviez ajouter des barres obliques dans l’URL avant le @, vous verriez en fait l’inverse se produire : https://google.com/[email protected] vous amènera à Google.
C’est là qu’interviennent les caractères Unicode U+2215 et U+2044. Ils ressemblent beaucoup à des barres obliques, mais ce n’est pas le cas. Et ils sont pris en charge dans les noms d’hôte. Cela signifie que vous pouvez créer une fausse URL qui semble assez authentique et qui pourrait envoyer un utilisateur vers une URL douteuse .zip prétendant être un téléchargement légitime. Ce domaine pourrait alors héberger un véritable fichier .zip contenant à peu près n’importe quoi, y compris des logiciels malveillants.
C’est un peu compliqué, mais vous pouvez voir le problème potentiel ici, surtout si quelqu’un n’est pas particulièrement averti sur Internet ou pressé.
Les domaines de premier niveau .zip étaient une erreur colossale. pic.twitter.com/gqlEJEWLgG12 mai 2023
En ce qui concerne les domaines .zip dont je me suis plaint – je pense que c’est stupide et crée inutilement de la confusion et laissera place à divers schémas de phishing mineurs/astuces/attaques de confusion d’adresses… mais ça va juste être forcé d’être un autre TLD. Cela semble tout simplement inutile.12 mai 2023
Cependant, tout le monde n’est pas d’accord pour dire qu’il s’agit d’une nouvelle race d’attaques de phishing. Un autre employé de Microsoft et créateur de HaveIBeenPwned, Troy Hunt, suggère qu’il n’y a rien de nouveau à craindre.
C’est une lecture intéressante concernant le TLD .zip. Cependant, cela n’a pratiquement aucune conséquence sur les attaques de phishing, lisez-le d’abord, puis je vous expliquerai : https://t.co/RoN3L2m61o17 mai 2023
Le problème avec l’analyse du billet de blog est qu’elle affirme que le nouveau TLD peut induire les gens en erreur * en y regardant de plus près *. Quel nouveau problème cela introduit-il qui n’est pas déjà présent en changeant le domaine en un domaine qui semble faisable ?17 mai 2023
Hunt revient sur l’argument selon lequel, en fin de compte, les humains sont « mauvais avec les URL et les TLD n’ont pas d’importance ». Ils suggèrent que la plupart des gens n’ont aucune idée quand on leur présente une adresse délibérément trompeuse, que le fichier ressemble ou non à un fichier .zip.
« La plupart des gens n’ont aucune idée du moment où une URL *recherche* réalisable est complètement fausse », déclare Hunt.
Mais l’essentiel est que ce n’est pas vraiment un problème pour les chercheurs en sécurité. Ils l’attraperont presque certainement. Le problème, ce sont les internautes les moins férus de technologie – .zip est devenu tellement synonyme de format de fichier qu’il est inutilement déroutant d’en faire un domaine Web également.
Les conseils pour aider les utilisateurs à éviter les attaques de phishing .zip présentés dans le billet de blog Medium sont absolument valables. Toi devrait gardez un œil sur les faux caractères dans les URL, les domaines avec des symboles @ suivis de fichiers .zip et soyez prudent lorsque vous téléchargez des fichiers envoyés par des destinataires inconnus.
En fait, ce dernier est vraiment le meilleur conseil pour éviter de se faire hameçonner. Les escroqueries prétendant provenir d’entreprises, de services ou même de personnes que vous connaissez sont parmi les plus dangereuses.
Vous n’avez pas besoin que je vous le dise, mais faites toujours attention aux liens sur lesquels vous cliquez.
La réponse de Google
Google a répondu aux préoccupations concernant le domaine .zip avec la déclaration suivante.
« Le risque de confusion entre les noms de domaine et les noms de fichiers n’est pas nouveau. Par exemple, les produits Command de 3M utilisent le nom de domaine command.com, qui est également un programme important sur MS DOS et les premières versions de Windows. Les applications disposent d’atténuations pour cela (comme Google Safe Browsing), et ces atténuations s’appliqueront aux TLD tels que .zip. En même temps, les nouveaux espaces de noms offrent des possibilités étendues de dénomination telles que community.zip et url.zip. Google prend le phishing et les logiciels malveillants au sérieux et Google Registry dispose de mécanismes existants pour suspendre ou supprimer les domaines malveillants sur tous nos TLD, y compris .zip. Nous continuerons à surveiller l’utilisation de .zip et d’autres TLD et si de nouvelles menaces apparaissent, nous prendrons les mesures appropriées pour protéger les utilisateurs.
Faites-en ce que vous voulez. Je suis d’avis que les domaines .zip finiront par être comme les autres, et tout aussi dangereux que les autres entre de mauvaises mains, mais je ne suis toujours pas convaincu qu’il y avait une véritable bonne raison de créer un domaine .zip en premier lieu .