Des doutes sur la sécurité des noms de domaine en .zip

Clément Bohic,
Linkedin
nom de domaine .zip

Disponible depuis peu, l’extension générique .zip agite la communauté infosec. Quelles sont les grandes lignes du débat ?

Est-il raisonnable de créer une extension de nom de domaine à partir d’un suffixe aussi utilisé comme extension de fichier ? On se pose la question dans la communauté infosec avec l’ouverture du .zip.

Au cœur du débat, les logiciels qui génèrent automatiquement des liens sur ce qu’ils interprètent comme étant des URL. Les craintes que cela engendre peuvent se résumer en un scénario-type :

L’expéditeur d’un e-mail y attache un fichier .zip et en mentionne le nom pour invite les destinataires à le télécharger.
Les clients de messagerie des destinataires créent un lien sur le nom du fichier .zip.
Ce lien ne pointe pas vers le fichier .zip en pièce jointe, mais vers le domaine du même nom.
Ce domaine, sous le contrôle d’un attaquant, héberge à sa racine un fichier .zip… malveillant.

Face à ce risque, doit-on s'attendre à un blocage généralisé du .zip au sein des systèmes de conversion d'URL ? Cela ne s'est pas produit pour d'autres extensions qui auraient pu, pendant un temps, être potentiellement problématiques, comme le .com (exécutable MS-DOS).

Il existe bien des bibliothèques qui remplissent cette fonction de conversion, mais les principaux logiciels, quand bien même ils en feraient usage, travaillent avec leurs propres listes. Slack, par exemple, ne convertit par les .blog, .cloud, .data ou encore .dev. Les applications de Meta ne convertissent quant à elles pas le .app.

La solution consisterait-elle à détecter les URL non pas à partir des suffixes, mais uniquement des préfixes et/ou des protocoles ? Des voix plaident pour cette option, rappelant qu'en l'état, iMessage et Telegram, entre autres, convertissent les URL en liens sans tenir compte de la présence du http(s)://.

Certains logiciels ont déjà fait des exceptions pour des questions linguistiques. En polonais, par exemple, « entre autres » peut se traduire par « miedzy innymi »... abrévié m.in. D'où un risque de confusion avec le gTLD de l'Inde. Une situation du même ordre se présente avec le .md, qui se réfère à la fois aux fichiers Markdown et au gTLD de la Moldavie.

À consulter pour davantage de contexte :

Cyberguerre : l'Ukraine rêve d'une Russie hors ligne
La Russie pousse un certificat TLS souverain
dappy, un projet français pour moderniser le DNS
Typosquatting de dépendances : gare à cette pratique résiduelle
HTTP/3 bientôt standardisé : pari gagné pour Google ?

Photo d'illustration © vector_v - Adobe Stock