De l'usurpation d'URL découverte dans les applis Zoom, Box et Google Docs

Alexandre Boero
Chargé de l'actualité de Clubic
16 mai 2022 à 18h30
4
Exemple d'usurpation d'URL. © Varonis
Exemple d'usurpation d'URL. © Varonis

Les chercheurs en cyber sécurité de Varonis ont découvert, dans plusieurs applications de renom fonctionnant dans le Cloud, des preuves d'usurpation d'URL, appelée aussi « spoofing », une technique redoutable d'efficacité.

Quel est le point commun entre Zoom, Box et Google Docs, outre le fait qu'il s'agisse d'applications SaaS (Software as a Service ou applications en tant que service) ? Selon le dernier rapport publié par le Varonis Threat Labs, les trois applications ont été victimes d'usurpation d'URL, ou spoofing, à des fins malveillantes bien entendu.

L'usurpation d'URL, la technique émergente qui brille par sa crédibilité

Avant d'entrer dans le vif du sujet, permettez-nous de resituer un petit peu le contexte. Dans un monde où les arnaques informatiques et autres techniques de piratage ou d'escroquerie sont nombreuses et sont dominées notamment par les désormais traditionnels ransomwares, l'usurpation d'URL se fait de plus en plus menaçante, d'autant plus qu'elle est diablement efficace par définition.

L'usurpation d'URL est possible grâce à l'exploitation de failles par les hackers, failles qui leur permettent de modifier des URL dites de vanité, c'est-à-dire une URL simplifiée, alors conçue pour être à la fois facile à lire et à taper.

Facebook fait partie des services phares victimes d'usurpation d'URL. Mais il est loin d'être le seul. © Mr. Tempter / Shutterstock
Facebook fait partie des services phares victimes d'usurpation d'URL. Mais il est loin d'être le seul. © Mr. Tempter / Shutterstock

L'intérêt de cette technique est de donner l'illusion à la victime ou à la cible que les liens d'hameçonnage semblent provenir d'une entreprise ou application de confiance, ici Zoom, Box et Google Docs. Le spoofing propose ainsi un environnement totalement familier et de confiance (insistons là-dessus), et la victime clique alors sur le lien usurpé, en fournissant à l'acteur malveillant différentes informations, comme des mots de passe, identifiants et autres informations personnelles.

Des solutions existent contre l'usurpation d'URL

Les URL de vanité aident souvent les entreprises à personnaliser les formulaires, pages Web et autres liens de partage fichiers. « Attention aux liens sur lesquels vous cliquez », prévient le patron de Varonis France, Damien Frey. « En entreprise, on engage les collaborateurs à être vigilants vis-à-vis des e-mails potentiellement frauduleux – le phishing – mais l'usurpation d'URL peut être tout aussi dangereuse », précise-t-il.

L'usurpation d'URL facilite le travail des individus malveillants pour hameçonner des informations personnelles sensibles. Mais la technique peut aussi pousser les utilisateurs ciblés à télécharger des malwares, ce qui doit engager ces derniers à être davantage précautionneux.

La technologie demeure aujourd'hui le réel allié des utilisateurs pour lutter contre le phénomène d'usurpation d'URL, avec des outils de détection automatique qui filtrent les adresses incohérentes, directement dans les navigateurs. Il est aussi bon de vérifier le certificat numérique d'un site web, et de se limiter aux sites qui appliquent le chiffrement HTTPS, même si certaines URL malveillantes possèdent un certificat HTTPS légitime. La solution la plus sûre reste d'utiliser un vérificateur de lien.

Source : Varonis

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ? Suivez-nous pour ne rien rater de l'actu tech !
google-news

A découvrir en vidéo

Haut de page

Sur le même sujet

Rejoignez la communauté Clubic S'inscrire

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

S'inscrire

Commentaires (4)

ovancantfort
Article vraiment écrit à la Va-vite. Il aurait fallu donner des exemples pour mieux faire comprendre la menace.<br /> Voici le lien sur l’article de blog de Varonis avec de nombreux exemples: Spoofing SaaS Vanity URLs for Social Engineering Attacks
kroman
Merci, beaucoup plus clair que cet article sans exemple.<br /> C’est quand même une grosse négligence de la part de ces sociétés, de permettre la création de liens par n’importe qui, avec les sous-domaines portant le nom de leur clients.
Murphy-Law
« vanity URL » = « URL personnalisée » ou « URL courte » en français… « URL de vanité »… bof.
domdom2
En art, une vanité est une représentation allégorique de la mort, du passage du temps, de la vacuité des passions et activités humaines. C’est en général sous la forme de têtes de mort…<br /> Finalement, c’est pas mal comme traduction
Voir tous les messages sur le forum