L’enregistrement de sites en .zip, commercialisé par Google, faciliterait le phishing
Le 16 mai 2023 à 05h01
1 min
Internet
Internet
ghacks.net relève que des campagnes d'hameçonnage profitent de la nouvelle extension de noms de domaines en .zip, et que des sites tels que microsoft-office.zip, qui ont depuis été désactivés, proposaient des invites de connexion à Microsoft.
Google Registry, qui avait acquis le .zip en 2014, a en effet annoncé la semaine passée le lancement de 8 nouveaux noms de domaine de premier niveau : .dad, .phd, .prof, .esq, .foo, .zip, .mov et .nexus, ce que déplorent de nombreux professionnels de la cybersécurité, et ce qui avait entraîné @vx-underground, « la plus grande collection de code source de malwares » (mais bien intentionnée), à enregistrer officeupdate.zip.
D'après le SANS Internet Storm Center, environ 1 230 noms auraient d'ores et déjà été enregistrés. Il conseille de bloquer l'accès aux domaines en .zip, à mesure qu'il pourrait être utilisé pour de telles campagnes de phishing, ce que semblerait confirmer les noms de domaine enregistrés en .zip, voire ce que permettraient les documents mentionnant des fichiers .zip (ou .mov) accessibles depuis un navigateur web et qui, d’un click, pourraient dès lors renvoyer à un site web plutôt qu’à un fichier.
Le 16 mai 2023 à 05h01
Commentaires (49)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 16/05/2023 à 06h38
Quelle surprise…
Le 16/05/2023 à 07h08
C’est une idée de génie le .zip pour un nom de domaine… Je propose le .pdf, et le .exe également.
Le 16/05/2023 à 07h41
Note que faire des domaines en .mov, c’est peut-être pas non plus tout à fait l’idée du siècle - même si un poil moins dangereux que le .zip.
Ajoutons donc le .jpg, le .png, le .mp3, le .aac, le .avi et le .mpg, pour faire bonne mesure !
Le 16/05/2023 à 07h29
mais pourquoi faire ? A part du fric et du marketing, évidement.
Le 16/05/2023 à 07h36
Oui, il y a plus de 20 ans, Laurent Chemla se qualifiait de voleur parce qu’il avait créé Gandi et vendait des noms de domaine bien plus cher que cela ne coûtait.
Le 16/05/2023 à 07h32
zip est un nom d’extension comme un autre.
Le niveau d’arnaque est moins élevé que nommer un fichier toto.pdf.exe dans un mail ou sur un site pour inciter à ouvrir le fichier sur une machine windows qui masque les extensions des noms de fichiers par défaut.
Le 16/05/2023 à 07h38
Bon quelques idées de noms de domaines à réserver ?
bag.dad, balanceton.prof, dant.esq, grot.esq, t.foo, bar.foo, koong.foo, fermeton.zip, tuzapetu.zip, tale.mov, an.nexus
Le 16/05/2023 à 10h23
J’ai aussi callme.dad et merilet.foo
Le 16/05/2023 à 07h54
Déjà que le commun des mortels a du mal à distinguer un fichier d’un site web, ça ne va pas aider. Je rejoins le clan des “mais voit l’idée de génie qu’ils ont eu, c’est clair qu’on avait bien besoin de ce genre d’extension, ça manquait !”
Le 16/05/2023 à 08h05
Voilà une super idée les domaines en .zip. On combine ça avec les navigateurs qui font aussi explorateur de fichier, et avec la killer feature des navigateurs de rajouter https:// devant tout ce que tu tapes, et ça va être la fête du slip.
Tu veux ouvrir toto.zip dans ton navigateur, tu te retrouves sur https://toto.zip/ (mais comme en plus le https:// est masqué par défaut, tu ne t’en rends même pas compte). Désormais, il faudra bien penser à taper file:///toto.zip. Super.
Bon, moi je ne suis pas concerné, je fais tout en ligne de commande. Mais pour les gens normaux, ça va être une source inépuisable de prises de tête.
Le 16/05/2023 à 09h20
Je n’ai jamais compris cette énième idée saugrenue de MS que ce masquage par défaut. Le truc que j’enlève en premier sur un Windows “frais”.
Le 16/05/2023 à 09h37
Je pense qu’ils ont voulu “simplifier” la vie des gens, mais que cela a été contre-productif car cela a entrainé une ignorance sur les extensions de fichiers :/
Le 16/05/2023 à 09h38
Il parait que ça effraie l’utilisateur lambda, ou pire.
Le 16/05/2023 à 09h42
C’était pour pas que les gens se posent de question puisque le logiciel par défaut est forcément le bon pour 95% des fichiers.
Bref, ou comment incité les gens à cliquer sur n’importe quoi sans faire attention et qui entraine la réputation de passoir d’un OS déjà pas très fiable.
Le 16/05/2023 à 10h12
Quand ça a été fait, le risque était bien moindre, on ne recevait pas de fichier vérolé par mail.
Le 16/05/2023 à 12h37
Avant Internet et le Minitel on risquait rien, c’était bien plus secur avec les discquettes 5.25” et3.5”
C’était un peut ça fusse un temps que les moins de 20 ans ne peuvent pas connaitrent
Faire du fric en rajoutant au fur et a mesure des nouveaux objets de convoitise :oui2:
Le 16/05/2023 à 09h41
Ahhhh je pensais être le seul à décocher cette case dès que je fais une clean install 😂
Le 16/05/2023 à 09h43
+1
même quand c’est pas mon pc mais que je dois intervenir dessus je le fais, je supporte pas les extensions masquées, ça fait très pervers avec son grand imperméable qui te propose des cachoux
Le 16/05/2023 à 10h02
Pareil, incompréhensible. Surtout que même sur 11 c’est toujours le cas.
C’est le cas de quasi n’importe quelle personne qui connaît un peu l’informatique et Windows, probablement.
Le 16/05/2023 à 11h12
Cet échange me fait penser à ce que j’ai entendu il y a longtemps:
«Configurer l’explorateur de fichiers de Windows, c’est facile, il suffit d’inverser toutes les options par défaut»
Le 16/05/2023 à 11h31
“Où l’on découvre que les arnaqueur sont plus futés que les arnaqués.”
Les technologies changent, les principes demeurent.
Le 16/05/2023 à 11h45
quel est l’intérêt d’avoir autant d’extension de domaines ? autant pratiquement tout autoriser
Le 16/05/2023 à 12h09
Elles ne font pas très envies ces noms de domaines de premier niveau… Vivement .nxi
Le 16/05/2023 à 12h28
Heu non, j’ai installé un windows 11 il y a 2-3 mois et j’ai bien les extensions, sans rien faire. Peut-être est-ce dû qu fait que ce soit un windows 11 pro, mais je n’y crois pas trop.
Le 16/05/2023 à 16h04
Je te confirme que sur win 11 pro je dois activer la visiblité des extensions connues.
Le 16/05/2023 à 13h14
de même, j’affiche les extensions de fichiers
Le 16/05/2023 à 13h53
Il faut répondre : non merci, je ne suis pas très drogue … (ceux qui savent, savent)
Le 16/05/2023 à 14h53
Ce qui est saugrenu c’est de se baser exclusivement sur l’extension pour afficher le type d’un fichier… Sous Linux, l’explorateur se sert du flag de début de fichier pour déterminer le type. Tu peux par exemple bien renommer une image jpg en .png, sous Linux elle seras toujours vue comme une jpg. Ca évite pas mal de soucis potentiels, et surtout ça empêche de masquer facilement le type d’un fichier…
Le 16/05/2023 à 17h35
Vendredi 13/Jérusalem n’a jamais existé alors ? pourtant …
Ah de la même époque je rajouterais aussi Tchernobyl, sympa aussi celui là
Le 17/05/2023 à 07h57
Tu les recevais dans une pièce attachée par mail ?
Le 17/05/2023 à 23h32
Vu qu’il parlait de l’époque d’avant internet et même le minitel ça me semble compliqué de les recevoir par mail, d’où ma boutade
Le 16/05/2023 à 18h28
Peut-être du fait d’avoir utilisé un compte Microsoft liés qui retiendrait les paramètres ? Je n’ai jamais essayé donc c’est juste une supposition
Le 16/05/2023 à 20h36
En effet, mais tu es sûr que l’explorateur/gestionnaire de fichier regarde autre chose que l’extension du fichier ? (pas sûr pour ma part)
C’est l’utilitaire “file”, qui existe par défaut sous Linux depuis je ne sais combien de temps (toujours ?), qui est bien pratique pour identifier la nature exacte d’un fichier (en regardant ce qu’il y a dedans et au début), et qui me manque sous Windows.
Il se base sur un fichier de description “/etc/magic” (ou nom proche).
Le 17/05/2023 à 06h31
Crée (sous Linux) un document sans extension. Linux l’ouvre sans souci. Windows n’y arrive pas.
J’ai fait cette expérience malgré moi en voulant partager une liste via clé USB.
Le 16/05/2023 à 20h50
Pas totalement faux
Possible, la machine W11 (neuve) que j’ai configurée avait bien les extensions masquées.
Le 16/05/2023 à 22h26
http:// zip.site.zip/zip/site.zip
Le 17/05/2023 à 08h47
Sous Linux oui j’en suis certain. Il suffit de modifier l’extension d’un fichier pour voir que le fichiers s’ouvre toujours avec la bonne application. Il y a probablement des exceptions mais ça fonctionne très bien avec les types courants (fichiers compressés, images…).
Le 17/05/2023 à 09h30
Non, dans une enveloppe par la poste ou bien de main à la main.
J’ai eu plus de virus du temps des disquettes que du temps d’internet.
Le 17/05/2023 à 09h42
Pour les disquettes, j’avais un truc imparable.
De la même façon que j’utilisais des préservatifs contre LE virus, mes 3.5” je les laissais dans la pochette en plastique souple. La capote à disquette m’a mis à l’abri.
Le 17/05/2023 à 11h44
C’est pas sympa pour la tête de lecture …
Le 17/05/2023 à 12h41
Plus de lecteur de disquette, plus de souci de virus.
Problem solved.
Le 17/05/2023 à 13h40
Je supposais qu’en l’absence d’extension, il utilise la méthode “file”.
OK, merci, donc on dirait que “file” est systématiquement utilisé.
Le 17/05/2023 à 13h44
J’ai connu les virus du temps de l’Amiga avant 2000 via les disquettes (certains tenaient même dans le boot-block, donc étaient injectés directement à l’insertion de la disquette, l’ordi lisant cette partie pour identifier ne serait-ce que le nom de la disquette), mais ils ne faisaient pas vraiment de dégâts, plutôt des plantages.
Ensuite on a eu des antivirus (gratuits voire libres) pour vérifier les disquettes.
Le 17/05/2023 à 13h50
Et moi sur Atari ST (on fait un petit fight ? :P )
Sur PC, je crois qu’un des trucs les plus violents que j’ai vu c’est en 95 ou 96, je ne me souviens plus du nom du virus mais il envoyait en boucle la tête du DD en butée, puis sur l’autre butée, le bruit était impressionnant. Au bout d’un moment la tête se bloquait sur une butée, DD bon pour le D3E.
Le 18/05/2023 à 10h38
Je pense que certains doivent se rappeler de Eddie et Dark Avenger.
Si vous avez du temps de libre petit article extrait de Fancy Bear Goes Phishing: The Dark History of the Information Age
The Guardian
Le 17/05/2023 à 23h43
Jamais eu d’Amiga ni d’Atari ST (mais j’ai longtemps bavé dessus), par contre j’ai eu mon 1er PC pour mes 18 ans début 90 et j’ai souvenir de 2-3 conneries sympas qui soit effaçaient des fichiers soit écrasaient la table de partition, t’étais hyper content sur le coup
(et t’appelais tous tes potes pour les prévenir, ou les engueuler selon le cas 
)
Bon et forcément ensuite le grand classique d’XP : Blaster et le coup de stress pour faire “executer > shutdown -a” avant que le PC reboote tout seul
Le 17/05/2023 à 13h46
Avec ou sans extension, il utilise les “magic numbers” , eux-mêmes utilisés par la commande file.
EDIT: orthographe
Le 17/05/2023 à 14h48
Autrement dit, utilisation de la “libmagic” je présume (comme pour la commande “file”). C’était ce que je voulais dire.
Le 17/05/2023 à 17h20
En fait c’est un peu des deux. Le Desktop Environment gère une association mimetype pour savoir avoir quoi ouvrir telle extension. Mais en cas d’extension non spécifiée il peut aussi se baser sur le magic number.
Exemple typique : une vidéo sans extension sera ouverte avec le lecteur multimédia par défaut car détectée en tant que tel. Là où par contre du texte il va se baser d’abord sur l’extension.