Est-il raisonnable de créer une extension de nom de domaine à partir d’un suffixe aussi utilisé comme extension de fichier ? On se pose la question dans la communauté infosec avec l’ouverture du .zip.
Au cœur du débat, les logiciels qui génèrent automatiquement des liens sur ce qu’ils interprètent comme étant des URL. Les craintes que cela engendre peuvent se résumer en un scénario-type :
L’expéditeur d’un e-mail y attache un fichier .zip et en mentionne le nom pour invite les destinataires à le télécharger.
Les clients de messagerie des destinataires créent un lien sur le nom du fichier .zip.
Ce lien ne pointe pas vers le fichier .zip en pièce jointe, mais vers le domaine du même nom.
Ce domaine, sous le contrôle d’un attaquant, héberge à sa racine un fichier .zip… malveillant.
Face à ce risque, doit-on s’attendre à un blocage généralisé du .zip au sein des systèmes de conversion d’URL ? Cela ne s’est pas produit pour d’autres extensions qui auraient pu, pendant un temps, être potentiellement problématiques, comme le .com (exécutable MS-DOS).
Il existe bien des bibliothèques qui remplissent cette fonction de conversion, mais les principaux logiciels, quand bien même ils en feraient usage, travaillent avec leurs propres listes. Slack, par exemple, ne convertit par les .blog, .cloud, .data ou encore .dev. Les applications de Meta ne convertissent quant à elles pas le .app.
La solution consisterait-elle à détecter les URL non pas à partir des suffixes, mais uniquement des préfixes et/ou des protocoles ? Des voix plaident pour cette option, rappelant qu’en l’état, iMessage et Telegram, entre autres, convertissent les URL en liens sans tenir compte de la présence du http(s)://.
Certains logiciels ont déjà fait des exceptions pour des questions linguistiques. En polonais, par exemple, « entre autres » peut se traduire par « miedzy innymi »… abrévié m.in. D’où un risque de confusion avec le gTLD de l’Inde. Une situation du même ordre se présente avec le .md, qui se réfère à la fois aux fichiers Markdown et au gTLD de la Moldavie.
À consulter pour davantage de contexte :
Cyberguerre : l’Ukraine rêve d’une Russie hors ligne
La Russie pousse un certificat TLS souverain
dappy, un projet français pour moderniser le DNS
Typosquatting de dépendances : gare à cette pratique résiduelle
HTTP/3 bientôt standardisé : pari gagné pour Google ?
Photo d’illustration © vector_v – Adobe Stock
Dans un avis consultatif, l'Autorité de la concurrence a identifié les risques concurrentiels liés à…
OpenAI signe un « partenariat de contenu stratégique » avec Time pour accéder au contenu…
Au lendemain du rejet de sa proposition de restructuration, David Layani annonce sa démission du…
Après un an, Hugging Face a revu les fondements de son leaderboard LLM. Quels en…
Mozilla commence à expérimenter divers LLM dans Firefox, en parallèle d'autres initiatives axées sur l'intégration…
VMware met VCF à jour pour y favoriser la migration des déploiements qui, sur le…