Les nouveaux domaines .zip et .mov de Google constituent un incident de sécurité imminent

Certains des nouveaux domaines de Google ressemblent à des extensions de fichiers, ce qui pourrait causer davantage de problèmes aux utilisateurs.

Internet est contrôlé par un ensemble de règles très strictes, régies principalement par l'Internet Corporation for Assigned Names and Numbers (ICANN). Seule l'ICANN a autorité sur les domaines de premier niveau (TLD), tels que .com, .org, .net et toutes les autres extensions d'URL auxquelles vous pouvez penser. Cependant, il délègue la responsabilité de ces TLD à un certain nombre d'organismes agréés. Google est l'une de ces organisations, et Google vient de lancer .dad, .phd, .prof, .esq, .foo, .nexus, .zip et .mov.

Les implications d'avoir un TLD .zip et .mov sont particulièrement inquiétantes car ce sont des extensions de fichiers couramment utilisées. Imaginez exploiter un site de phishing sur un domaine .zip et l'envoyer à une personne qui n'est peut-être pas aussi douée en technologie que vous. Il existe déjà un site Web appelé état financier.zip

cela montre exactement à quoi cela ressemblerait, et cela a le potentiel de faire peur. Mais ce n’est que le potentiel, et je doute que cela devienne un problème aussi important qu’il y paraît.

Pourquoi les domaines .zip peuvent poser problème

Une quantité importante de logiciels convertit automatiquement les liens qui ressemblent à des URL en quelque chose de cliquable et pour cause. Une chaîne qui se termine par .com sera presque toujours un site Web, et il en va de même pour presque tous les TLD. Le logiciel ne fera pas encore ça avec les domaines .zip puisque les programmes doivent être mis à jour, mais à mesure qu'ils reçoivent des mises à jour avec des listes TLD mises à jour, il est probable que .zip sera inclus dans quelques. Maintenant, quand quelqu'un dit quelque chose comme « Veuillez trouver le fichier Financialstatement.zip ci-joint », au moins quelques les programmes convertiront automatiquement cela en un véritable lien cliquable. Étant donné que la personne qui reçoit l'e-mail s'attend à recevoir un fichier zip, un attaquant pourrait télécharger un fichier zip sur ce site Web, ce qui signifie que pour l'utilisateur final, rien ne semble déplacé.

Ces préoccupations s'appliquent toutes à l'extension de fichier .mov, qui est un format de fichier vidéo.

Définir un TLD sur une extension de fichier commune relève d'une vision à courte vue, d'autant plus que cela ne peut qu'aider les phishers et autres acteurs malveillants à tenter de confondre et d'induire en erreur les victimes potentielles. Nous voyons déjà des logiciels qui convertissent les TLD .zip en URL cliquables. Si quelqu'un a mentionné un .zip sur Twitter dans un tweet plus ancien, ce nom de fichier est désormais cliquable et amènera quelqu'un à un site web. Bien que cela ait toujours été le cas, .zip n'était pas un TLD valide jusqu'à présent.

Il est assez courant que quelqu'un écrive le nom d'un fichier zip quelque part, mais il ne sera plus clair s'il s'agit d'un nom de fichier ou d'un site Web. Bien sûr, vous pouvez utiliser des indices contextuels, mais ceux-ci deviendront probablement flous avec le temps et confondront les personnes qui ne sont pas nécessairement au courant.

Techniquement, ce n'est pas la première fois qu'un TLD partage un nom avec une extension de fichier depuis que l'extension de fichier .com est utilisée sur les machines MS-DOS. Pourtant, les temps ont beaucoup changé et nous n’utilisons plus l’extension de fichier .com pour les exécutables. Et cela ne changera probablement pas avec .zip.

Les risques peuvent être surestimés

Heureusement, je ne suis pas sûr que .zip et .mov soient des ajouts apocalyptiques à la liste des TLD. De nombreux TLD ne sont pas automatiquement converti par les programmes, et vous devez souvent ajouter https:// au début de votre URL s'il s'agit d'un TLD non standard pour le rendre cliquable. Dans le cas de sites comme Twitter, oui, ils deviennent cliquables, mais la plupart des sites Web et des programmes ne l'ajouteront probablement pas à leur liste de TLD à liaison automatique. parce que du tumulte lié aux problèmes de sécurité.

Les autres domaines ajoutés par Google ne posent pas non plus de problèmes, les TLD tels que les domaines .dad et .phd étant un moyen amusant de créer un site Web plus personnalisé. Ce n’est probablement pas un problème aussi grave que beaucoup le prétendent. Ce n'est pas génial, mais ce n'est pas la fin des formats .zip ou .mov tels que nous les connaissons.