{"id":20657,"date":"2023-06-02T12:01:56","date_gmt":"2023-06-02T10:01:56","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=20657"},"modified":"2023-06-02T12:01:56","modified_gmt":"2023-06-02T10:01:56","slug":"zip-mov-domain-extension-confusion","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/zip-mov-domain-extension-confusion\/20657\/","title":{"rendered":"M\u00e9fiez-vous des domaines .zip et .mov !"},"content":{"rendered":"

Les noms des sites se terminent g\u00e9n\u00e9ralement par .com, .org, .net, etc. Pourtant, de nouvelles extensions de domaines (.aero, .club et autres) ont fait leur apparition au cours de ces derni\u00e8res ann\u00e9es. Ces extensions sont connues comme les domaines de premier niveau (TLD<\/strong>) et la liste<\/a>, d\u00e9j\u00e0 longue, ne cesse de s\u2019allonger avec de nouveaux ajouts de temps \u00e0 autre. Google a annonc\u00e9<\/a> en mai que huit nouveaux domaines \u00e9taient disponibles, dont deux qui rappellent ind\u00e9niablement les c\u00e9l\u00e8bres extensions de fichiers\u00a0.zip et .mov. Cette action a \u00e9t\u00e9 fortement critiqu\u00e9e par les experts en informatique et en s\u00e9curit\u00e9 informatique puisqu\u2019elle garantit \u00e0 coup s\u00fbr une confusion, l\u2019apparition de liens qui cherchent \u00e0 causer des d\u00e9g\u00e2ts et des nouvelles strat\u00e9gies d\u2019hame\u00e7onnage.<\/p>\n

Comment ne pas confondre .zip et .zip<\/h3>\n

Les fichiers ZIP et MOV existent depuis des dizaines d\u2019ann\u00e9es\u00a0: .zip est le format de facto des archives et .mov est un des conteneurs vid\u00e9o les plus populaires. Google a cr\u00e9\u00e9 les nouveaux domaines ZIP et MOV pour les geeks, mais n\u2019importe qui peut y acc\u00e9der et les utiliser comme bon leur semble.<\/p>\n

D\u00e9sormais, seul le contexte peut vous permettre de savoir si ZIP ou MOV est un site ou un fichier lorsque vous trouvez update.zip<\/u> sur Internet, par exemple. Le contexte est un \u00e9l\u00e9ment que l\u2019\u00eatre humain peut saisir, mais pas un ordinateur. C\u2019est pourquoi une r\u00e9f\u00e9rence de ce genre pourrait \u00eatre \u00e0 l\u2019origine de certains probl\u00e8mes pour toutes les applications, comme Twitter\u00a0:<\/p>\n

\"Tweet<\/a>

Tweet qui mentionne les fichiers .zip and .mov<\/p><\/div>\n

\u00a0<\/p>\n

Il est \u00e9vident que le tweet parle de fichiers. Pourtant, Twitter a converti les noms des fichiers en liens. Si quelqu\u2019un enregistre les domaines test.zip<\/em> et movie.mov<\/em>, les personnes qui cliquent sur les liens qui sont les noms des fichiers pourraient \u00eatre victimes d\u2019une certaine technique d\u2019hame\u00e7onnage.<\/p>\n

Cet article<\/a> explique en d\u00e9tail comment l\u2019utilisation du domaine .zip et de caract\u00e8res Unicode similaires \u00e0 la barre oblique (\/) dans le lien permet de cr\u00e9er des URLs d\u2019hame\u00e7onnage exceptionnellement convaincantes et difficiles \u00e0 diff\u00e9rencier des liens l\u00e9gitimes que l\u2019on trouve sur GitHub.<\/p>\n

\"\"<\/a>

Trouvez les neuf diff\u00e9rences<\/p><\/div>\n

\u00a0<\/p>\n

Le chercheur en s\u00e9curit\u00e9 mr.d0x a trouv\u00e9 une autre fa\u00e7on d\u2019exploiter le domaine .zip \u00e0 des fins d\u2019hame\u00e7onnage. \u00a0La technique qu\u2019il d\u00e9crit<\/a>, surnomm\u00e9e file-archiver-in-the-browser<\/em>, implique l\u2019utilisation de sites qui imitent l\u2019interface de l\u2019outil d\u2019archivage. L\u2019utilisateur pense qu\u2019il ouvre un fichier .zip alors qu\u2019il est redirig\u00e9 vers un site du m\u00eame nom et qu\u2019au lieu de la liste des fichiers contenus il voit des URLs qui peuvent ouvrir tout et n\u2019importe quoi. Par exemple, il peut s\u2019agir d\u2019un lien qui t\u00e9l\u00e9charge un programme malveillant ex\u00e9cutable ou qui ouvre un formulaire qui demande de saisir les identifiants professionnels afin d\u2019acc\u00e9der au document. Ce rapport d\u00e9crit aussi un m\u00e9canisme de livraison int\u00e9ressant \u00e0 l\u2019aide de l\u2019explorateur de fichiers Windows. Si le cybercriminel arrive \u00e0 convaincre la victime de chercher un fichier .zip qui n\u2019existe pas, l\u2019explorateur de fichiers va automatiquement ouvrir le site dont le domaine a le m\u00eame nom que le fichier.<\/p>\n

\u00a0<\/p>\n

Cette menace d\u2019hame\u00e7onnage est r\u00e9elle puisque certains sites d\u2019hame\u00e7onnage .zip<\/a> qui exploitent le sujet des mises \u00e0 jour Windows ont d\u00e9j\u00e0 \u00e9t\u00e9 d\u00e9tect\u00e9s.<\/p>\n

\u00a0<\/p>\n

Il convient de souligner que ce n\u2019est pas la premi\u00e8re fois que nous voyons une telle confusion. Un des domaines originaux, .com, est aussi l\u2019extension l\u00e9gitime de fichiers ex\u00e9cutables et est activement utilis\u00e9e par le syst\u00e8me d\u2019exploitation MS-DOS (et les versions plus anciennes de Windows). D\u2019autre part, l\u2019extension .sh, utilis\u00e9e pour les scripts Unix, est identique au domaine de premier niveau du territoire britannique d\u2019outre-mer qu\u2019est l\u2019\u00eele Sainte-H\u00e9l\u00e8ne, Ascension et Tristan da Cunha<\/a>. Il s\u2019agit tout de m\u00eame de ZIP et MOV, des formats populaires aupr\u00e8s d\u2019une audience qui n\u2019a pas de connaissances techniques et qui pourraient causer des probl\u00e8mes aux utilisateurs et aux administrateurs syst\u00e8me. M\u00eame si vous laissez l\u2019hame\u00e7onnage de c\u00f4t\u00e9 pendant un instant, vous pourriez rencontrer des situations similaires \u00e0 celle du tweet ci-dessus puisque de nombreuses applications traitent automatiquement le texte et soulignent les liens. Ainsi, \u00e0 tout moment, n\u2019importe quel texte qui contient le nom d\u2019un fichier pourrait se transformer en un contenu avec un lien hypertexte qui ouvre un site externe. Qu\u2019il s\u2019agisse d\u2019un site d\u2019hame\u00e7onnage ou pas, cette action pourrait \u00a1 occasionner des d\u00e9sagr\u00e9ments ou au moins une certaine confusion. Visitez financialstatement.zip<\/a> pour vous faire une id\u00e9e.<\/p>\n

\u00a0<\/p>\n

Quelques conseils pour les utilisateurs<\/h3>\n

L\u2019apparition des domaines ZIP et MOV ne va pas radicalement changer l\u2019\u00e9cosyst\u00e8me de l\u2019hame\u00e7onnage et des arnaques en ligne\u00a0; c\u2019est juste que les cybercriminels ajoutent une corde \u00e0 leur arc. Ainsi, les conseils anti-hame\u00e7onnage<\/a> que nous vous donnons habituellement restent les m\u00eames : analysez minutieusement les liens avant de cliquer, m\u00e9fiez-vous des pi\u00e8ces jointes et des URLs d\u2019e-mails que vous n\u2019attendiez pas, ne cliquez pas sur les liens suspects et assurez-vous d\u2019avoir une bonne solution de s\u00e9curit\u00e9 sur tous vos dispositifs<\/a>, y compris les smartphones et les ordinateurs Mac.<\/p>\n

\u00a0<\/p>\n

Quelques conseils pour les administrateurs<\/h3>\n

Certains utilisateurs vont s\u00fbrement ignorer les conseils donn\u00e9s ci-dessus. Selon le fonctionnement de votre entreprise, vous devrez peut-\u00eatre configurer de nouvelles r\u00e8gles de s\u00e9curit\u00e9 pour les noms de domaine .zip et .mov. Certaines mesures consistent \u00e0 analyser les liens de fa\u00e7on plus rigoureuse ou encore d\u2019emp\u00eacher les utilisateurs de visiter les sites ayant ces noms de domaine depuis leur ordinateur professionnel. Ce n\u2019est pas une premi\u00e8re\u00a0: le domaine .bit<\/a> a \u00e9t\u00e9 largement bloqu\u00e9 et a progressivement disparu \u00e0 cause d\u2019un d\u00e9luge de liens malveillants en 2018-2019.<\/p>\n

L\u2019arriv\u00e9e des domaines ZIP et MOV est l\u2019occasion parfaite pour former<\/a>\u00a0les employ\u00e9s en s\u00e9curit\u00e9 informatique, ou pour refaire la formation, et pour se concentrer sur la d\u00e9tection de l\u2019hame\u00e7onnage.<\/p>\n\n

Nous conseillons aux administrateurs informatiques de tester tous les syst\u00e8mes cl\u00e9s de l\u2019entreprise qui traitent les liens pour voir comment ils g\u00e8rent les sites .zip et .mov, et si l\u2019utilisation des fichiers ZIP a des effets ind\u00e9sirables. Les syst\u00e8mes de messagerie, les applications professionnelles de messagerie instantan\u00e9e et les services de partage des fichiers que les employ\u00e9s utilisent doivent \u00eatre surveill\u00e9s de tr\u00e8s pr\u00e8s puisque c\u2019est l\u00e0 que les doutes vont appara\u00eetre. Les fonctionnalit\u00e9s ind\u00e9sirables, comme la cr\u00e9ation automatique de liens \u00e0 partir d\u2019un sch\u00e9ma concret de nom, peuvent \u00eatre d\u00e9sactiv\u00e9es pour ZIP et MOV, ou de fa\u00e7on g\u00e9n\u00e9rale.<\/p>\n","protected":false},"excerpt":{"rendered":"

Les noms des sites qui ont ZIP ou MOV comme domaine sont indiff\u00e9renciables des noms de fichiers. Comment cette nouveaut\u00e9 affecte les syst\u00e8mes informatiques et comment les cybercriminels vont s\u2019en servir ?<\/p>\n","protected":false},"author":2722,"featured_media":20660,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2112,3150],"tags":[87,4390,3031,90,124,914],"class_list":{"0":"post-20657","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"tag-conseils","10":"tag-domaines","11":"tag-formation","12":"tag-hameconnage","13":"tag-piratage","14":"tag-risques"},"hreflang":[{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/zip-mov-domain-extension-confusion\/20657\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/zip-mov-domain-extension-confusion\/25696\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/zip-mov-domain-extension-confusion\/21118\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/zip-mov-domain-extension-confusion\/28351\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/zip-mov-domain-extension-confusion\/25996\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/zip-mov-domain-extension-confusion\/26378\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/zip-mov-domain-extension-confusion\/28866\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/zip-mov-domain-extension-confusion\/35343\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/zip-mov-domain-extension-confusion\/48254\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/zip-mov-domain-extension-confusion\/21361\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/zip-mov-domain-extension-confusion\/26304\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/zip-mov-domain-extension-confusion\/32008\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/zip-mov-domain-extension-confusion\/31694\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.fr\/blog\/tag\/hameconnage\/","name":"hame\u00e7onnage"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/20657","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/users\/2722"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/comments?post=20657"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/20657\/revisions"}],"predecessor-version":[{"id":20663,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/20657\/revisions\/20663"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media\/20660"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media?parent=20657"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/categories?post=20657"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/tags?post=20657"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}