Après JavaScript, gare aux fichiers SVG en pièce-jointe

DSIMalwaresPolitique de sécuritéProjetsSécurité

Avec le blocage des pièces-jointes en JavaScript par Gmail, les cybercriminels ont trouvé une nouvelle terre d’accueil : le fichier image SVG.

La semaine dernière, Google a indiqué que, à partir du 13 février, Gmail allait bloquer les pièces-jointes des mails comprenant du JavaScript. Une mise à mort d’un vecteur de malware, mais pour peut-être mieux ressusciter sous les traits du SVG.

Ce format de fichier image est promis à un grand avenir selon les analystes dans les pièces-jointes des messages. SVG est un fichier utilisé pour stocker des graphiques vectoriels évolutifs (scalable vector graphics) grâce la syntaxe XML.

L’avantage de ce fichier est que les développeurs peuvent également y incorporer du code JavaScript. Traditionnellement, les SVG ont pour vocation d’animer une image, mais certains pirates ont réalisé qu’ils pouvaient servir à véhiculer du code malveillant. Et le bonheur est total pour les pirates en sachant que les fichiers SVG s’exécutent par défaut dans Internet Explorer. Un navigateur encore largement utilisé en entreprise.

Un précédent sur Facebook pour diffuser Locky

L’utilisation des fichiers SVG n’est pas nouvelle pour mener des campagnes d’infection. En 2016, elles ont été particulièrement entreprenantes. Ainsi, en novembre dernier, une campagne de spams a été menée sur les abonnés Facebook. Au sein du SVG, une charge utile avait été placée, nommée Nemucod. Une fois intégrée, ce programme diffusait le ransomware Locky, tristement connu depuis l’été dernier. Le plus inquiétant dans cette histoire est que la charge utile est passée complètement sous les radars de sécurité de Facebook.

Les techniques de piratage évoluent donc. La vigilance va être de mise à partir du 13 février, jour où Google bannit les pièces-jointes en JavaScript. Les éditeurs de logiciels de sécurité sont prévenus et devront s’adapter pour améliorer la détection des malwares planqués dans les fichiers images.

A lire aussi :

Le ransomware Locky s’invite sur Facebook

Le navigateur Edge de Microsoft abandonne ActiveX et VBScript

crédit photo  © ra2studio – shutterstock

Lire la biographie de l´auteur  Masquer la biographie de l´auteur