Les noms de domaine .zip et .mov – Une aubaine pour les cybercriminels
Depuis le 10 mai 2023, les noms de domaine .zip et .mov sont ouverts à tous. En effet, Google s’est procurée ses extensions de nom de domaine.
Cependant, ces noms de domaine rappellent les extensions de fichier .zip et .mov. Cette similitude va être fortement exploitée par les cybercriminels, comme nous allons le voir dans cet article.
Depuis le 10 mai 2023, les noms de domaine .zip et .mov sont ouverts à tous. En effet, Google s’est procurée ses extensions de nom de domaine.
Cependant, ces noms de domaine rappellent les extensions de fichier .zip et .mov. Cette similitude est déjà fortement exploitée par les cybercriminels, comme nous allons le voir dans cet article.
Les noms de domaine
Un nom de domaine correspond à une adresse IP retravaillée, cela constitue l’identifiant et l’adresse internet d’un site web.
Un nom de domaine est composé de 4 éléments qui sont :
- Préfixe
- Sous-domaine
- Domaine
- Extension ou TLD
Aujourd’hui, de nombreuses extensions de nom de domaine sont connues, on peut citer :
- .fr pour les sites français
- .com pour les sites commerciaux
- .org pour les organisations
- .net
- .io, souvent utilisée pour des entreprises technologiques
Les registers de noms de domaine peuvent se procurer des extensions auprès de l’ICANN (“Internet Corporation for Assigned Names and Numbers”), une autorité de régulation d’Internet.
Ainsi, Google est devenue un register de nom de domaine, et les clients (personnes, entreprises, etc.) peuvent acheter un nom de domaine avec une extension appartenant à Google, comme .app.
Google et l’achat des noms de domaine .zip et .mov
En avril 2023, Google annonce le lancement de 8 nouvelles extensions.
Elles sont restées réservées jusqu’à mi-mai 2023 aux titulaires de marques enregistrées à la TMCH (Trademark Clearinghouse), cela s’appelle la période de Sunrise.
La « TMCH », base de données mondiale créée par l’ICANN, consiste à permettre aux détenteurs de marques de réserver prioritairement leurs noms de domaine dans les nouvelles extensions internet.
En mai 2023, ces nouvelles extensions de nom de domaine deviennent ouvertes à tous.
Voici les 8 nouveaux noms de domaine disponibles :
- .foo : extension ciblant les développeurs
- .nexus
- .dad (oui comme papa en anglais)
- .phd : extension qui cible les doctorants, PhD signifiant Philosophiæ doctor, et désignant le diplôme du doctorat
- .esq : extension qui fait référence à esquire, il s’agit d’un titre de courtoisie attribué à un avocat
- .prof : extension faisant écho au corps professoral
- .mov : extension idéale pour les images animées
- .zip
Le problème des noms de domaine .zip et .mov
Dans ces 8 nouveaux noms de domaine, deux d’entre eux posent des problèmes :
- zip
- .mov
En juin 2023, pas moins de 2 550 noms de domaine finissant par .mov ont été enregistrés, et 13 100 noms de domaine pour ceux finissant par .zip.
Le problème de ces extensions de nom de domaine vient du fait qu’il s’agit également d’extensions de nom de fichier.
Un fichier finissant par .mov correspond à une extension de fichiers compatibles avec QuickTime, un ancien framework multimédia développé par Apple.
Les fichiers finissant par .zip sont plus connus. Il s’agit d’un format qui permet la compression de fichiers ou dossiers.
Un internaute peut donc confondre par mégarde une extension d’un fichier finissant par .zip ,et une extension de nom de domaine se terminant par .zip.
Et c’est dans ces cas-là que les cybercriminels vont agir.
L’utilisation des noms de domaine .zip et .mov par les cybercriminels
Les malfaiteurs n’ont pas attendu pour s’accaparer des noms de domaine malicieux et pouvant arnaquer l’internaute.
Voici une longue liste de nouveaux noms de domaine, et on peut vite se rendre compte que beaucoup d’entre eux vont servir à piéger des gens et à les arnaquer.
paypal.zip
Imaginez un instant, vous recevez un mail provenant de « Paypal », vous demandant de télécharger un fichier .zip.
Quand vous cliquez dessus, ce n’est pas un fichier qui se télécharge, mais une fenêtre internet qui s’ouvre contenant un malware, vous êtes tombés dans le piège des cybercriminels.
Eh bien, cela est déjà arrivé malgré la présence assez courte de ces extensions de nom de domaine sur le marché.
Un tiers chinois, n’appartenant pas à Paypal a acheté sur Dan, une plateforme commercialisant des noms de domaine, « paypal.zip ».
Ce même tiers a également acheté « github.zip » et « openai.zip ».
familyphotos.zip
Ci-dessous, ce qu’un utilisateur a reçu dans sa boîte mail.
La « pièce jointe » familyphotos.zip est en réalité un lien amenant vers un site internet contenant un virus.
Les personnes âgées, ou non vigilantes, peuvent facilement se faire avoir avec ce genre de stratagèmes.
microsoft-office.zip
Des analystes chez Netcraft ont découvert qu’un nom de domaine s’appelant « microsoft-office.zip » a été acheté et qu’il a été utilisé dans des campagnes de phishing.
Concrètement, des cybercriminels ont envoyé des mails se faisant passer pour Microsoft et incitaient les victimes à « télécharger » la nouvelle version de Microsoft Office via un fichier .zip.
Mais en réalité, les cibles n’allaient pas télécharger la suite Office, mais avaient ouverts une page internet contenant un Malware contaminant leur ordinateur.
La réponse de Google sur les extensions de nom de domaine .zip et .mov
Contacté par BleepingComputer, Google s’est exprimé sur les inquiétudes : « Google prend le phishing et les logiciels malveillants au sérieux et le registre Google dispose de mécanismes existants pour suspendre ou supprimer les domaines malveillants. […] Nous continuerons à surveiller l’utilisation de .zip et d’autres noms de domaine et si de nouvelles menaces apparaissent, nous prendrons les mesures appropriées pour protéger les utilisateurs ».
Certains cyber-experts considèrent que le risque est minime, d’autre considèrent que le risque est bien réel.
Pas moins de 1 200 noms de domaines .zip et .mov ont été déposés les deux premières semaines de commercialisation de ces extensions.
Se prémunir contre ce genre de cyberattaques
Ce genre d’attaque peut être évité. Les victimes de ces attaques sont la plupart du temps des personnes :
- Assez peu familières avec Internet
- Ne faisant pas attention
Il est donc primordial de former aux risques liés à la cybersécurité via des formations adéquates.
Nous conseillons, pour les professionnels, de réaliser une campagne de phishing personnalisée afin de tester et éprouver les collaborateurs.
En effet, réaliser une campagne de phishing personnalisée fictive permet de sensibiliser ses collaborateurs à la sécurité informatique, ils seront donc moins enclins à être victimes de ce genre de stratagème et sauront se méfier.