25/05/2023
25 Mai , 2023 read
Cette semaine, Google a lancé un nouveau TLD (Top-Level Domain) ou “Domaine de premier niveau” appelé .zip, signifiant qu’il est désormais possible d’acheter un domaine .zip, similaire à un .com ou .org.
Dans la répartition des URL ci-dessus, tout ce qui se trouve entre le schéma https:// et l’opérateur “@” est considéré comme des informations utilisateurs. Tout ce qui suit l’opérateur “@” est immédiatement traité comme un nom d’hôte.
Cependant, les navigateurs modernes tels que Chrome, Safari et Edge ne souhaitent pas que les utilisateurs s’authentifient accidentellement sur des sites Web en un seul clic. Ils ignoreront donc toutes les données de la section des informations utilisateur et dirigeront simplement l’utilisateur vers la partie nom d’hôte de l’URL.
Par exemple, si nous prenons le lien suivant : https://google.com%E2%88%95gmail%E2%88%95inbox@evil.zip/, le navigateur effectuera une redirection vers le site evil.zip, tandis que la victime croira qu’elle visite google.com. Cette méthode d'attaque, connue sous le nom de phishing, vise à tromper les utilisateurs en leur faisant croire qu'ils sont sur un site de confiance alors qu'ils sont redirigés vers une destination malveillante.
Il est également important de faire la différence entre le caractère “/” et le caractère “U+2215 (/)”. Par exemple, le lien https://google.com/gmail/inbox@evil.zip nous redirigera vers google.com et non pas google.co.
Ces mesures de sécurité prises par les navigateurs sont essentielles pour protéger les utilisateurs contre les attaques de phishing et les tentatives d'hameçonnage. Elles permettent de s'assurer que les utilisateurs ne sont pas trompés par des URL contenant des informations utilisateur malveillantes ou trompeuses, en les dirigeant vers le nom d'hôte réel du site Web au lieu des informations utilisateur fournies.
Si vous voulez bénéficier du support de consultants spécialisés dans le domaine de la cybersécurité, d’un accompagnement de vos équipes dans leur montée en compétences sur la sécurité et de conseils sur les meilleures technologies et méthodologies pour protéger votre organisation et ses systèmes, contactez-nous !