Est-il raisonnable de créer une extension de nom de domaine à partir d’un suffixe aussi utilisé comme extension de fichier ? On se pose la question dans la communauté infosec avec l’ouverture du .zip.
Au cœur du débat, les logiciels qui génèrent automatiquement des liens sur ce qu’ils interprètent comme étant des URL. Les craintes que cela engendre peuvent se résumer en un scénario-type :
L’expéditeur d’un e-mail y attache un fichier .zip et en mentionne le nom pour invite les destinataires à le télécharger.
Les clients de messagerie des destinataires créent un lien sur le nom du fichier .zip.
Ce lien ne pointe pas vers le fichier .zip en pièce jointe, mais vers le domaine du même nom.
Ce domaine, sous le contrôle d’un attaquant, héberge à sa racine un fichier .zip… malveillant.
Face à ce risque, doit-on s’attendre à un blocage généralisé du .zip au sein des systèmes de conversion d’URL ? Cela ne s’est pas produit pour d’autres extensions qui auraient pu, pendant un temps, être potentiellement problématiques, comme le .com (exécutable MS-DOS).
Il existe bien des bibliothèques qui remplissent cette fonction de conversion, mais les principaux logiciels, quand bien même ils en feraient usage, travaillent avec leurs propres listes. Slack, par exemple, ne convertit par les .blog, .cloud, .data ou encore .dev. Les applications de Meta ne convertissent quant à elles pas le .app.
La solution consisterait-elle à détecter les URL non pas à partir des suffixes, mais uniquement des préfixes et/ou des protocoles ? Des voix plaident pour cette option, rappelant qu’en l’état, iMessage et Telegram, entre autres, convertissent les URL en liens sans tenir compte de la présence du http(s)://.
Certains logiciels ont déjà fait des exceptions pour des questions linguistiques. En polonais, par exemple, « entre autres » peut se traduire par « miedzy innymi »… abrévié m.in. D’où un risque de confusion avec le gTLD de l’Inde. Une situation du même ordre se présente avec le .md, qui se réfère à la fois aux fichiers Markdown et au gTLD de la Moldavie.
À consulter pour davantage de contexte :
Cyberguerre : l’Ukraine rêve d’une Russie hors ligne
La Russie pousse un certificat TLS souverain
dappy, un projet français pour moderniser le DNS
Typosquatting de dépendances : gare à cette pratique résiduelle
HTTP/3 bientôt standardisé : pari gagné pour Google ?
Photo d’illustration © vector_v – Adobe Stock
Un temps pressenti pour constituer le socle d'une suite bureautique AWS, Amazon WorkDocs arrivera en…
Eviden regroupe cinq familles de serveurs sous la marque BullSequana AI. Et affiche le supercalculateur…
Le dernier Magic Quadrant du SSE (Secure Service Edge) dénote des tarifications et des modèles…
Formats de paramètres, méthodes d'apprentissage, mutualisation GPU... Voici quelques-unes des recommandations de l'ANSSI sur l'IA…
À la grogne des partenaires VMware, Broadcom répond par diverses concessions.
iPadOS a une position suffisamment influente pour être soumis au DMA, estime la Commission européenne.