Les nouveaux noms de domaine de l’ICANN : une aubaine pour les activités de phishing
Un hausse des activités de phishing sur les nouveaux noms de domaine de l'ICANN, on vous explique.
On fait déjà état d’une activité malicieuse à partir des nouveaux domaines de premier niveau (TLD, Top-level Domain) alors même que ceux-ci viennent à peine d’être autorisés, dans le courant de l’année, par l’ICANN (Internet Corporation for Assigned Names and Numbers), l’autorité californienne de régulation de l’Internet. Une tendance inquiétante qui démontre que ces nouvelles extensions sont en réalité, du moins en premier lieu, une véritable aubaine pour spécialistes du phishing (hameçonnage) et du spam.
L’ICANN et la régulation des noms de domaines
L’expression Top-level Domain n’est sans doute pas familière à bon nombre d’usagers du web, or c’est le cœur du système de noms de domaine (DNS, Domain Name System) sur lequel repose tout Internet. Les TLD font référence à la portion finale du nom de domaine comme .com, .gov, .fr, etc.
L’ICANN prend en charge ces TLD et livre périodiquement de nouveaux suffixes lorsque d’autres s’avèrent saturés. Cette année, plus de 300 nouveaux TLD ont ainsi été révélés par l’ICANN, parmi lesquels on a pu trouver .email, .support et .guru. On en attend au moins autant dans un proche avenir. Dès lors, on peut constater qu’une certaine hiérarchie s’instaure en fonction de qui utilise quel nom de domaine et à quelles fins. Et certains TLD semblent plus prompts à être exploités de manière malveillante.
Des constats plus qu’inquiétants
Jérôme Segura, un chercheur en sécurité de la société Malwarebytes, un éditeur de programmes antivirus et anti-logiciels malveillants, explique sur son blog avoir contrôlé, par curiosité, les historiques de connexions de leurs meilleurs honeypots (dispositifs conçus pour attirer les attaques informatiques) pendant une soixantaine de jours pour voir si des attaques provenaient de ces nouveaux TLD. Le constat : beaucoup de ces nouveaux TLD sont déjà compromis.
Il ajoute qu’il est important de remarquer que la majorité des domaines impliqués n’avaient pas été enregistrés par les pirates eux-mêmes. Il s’agissait plutôt de sites web ayant été hackés (piratés) puis utilisés à des fins malveillantes.
L’extension .pharmacy, par exemple, récemment délivrée est idéale pour les spammers souhaitant vendre divers médicaments. Et même s’il existe des restrictions sur les personnes autorisées à enregistrer leur site Internet, précise Jérôme Segula.
Un véritable détournement de certificats
Parallèlement, le SANS Institute, un groupement de 165 000 professionnels de la sécurité sur Internet, rapporte que les escrocs par phishing utilisent déjà les TLD.
« On se doutait, depuis la mise en ligne du TLD .biz il y a deux ans, les seuls à acheter des domaines dans cet espace étant des arnaqueurs, de ce qu’il allait se passer avec cette nouvelle source financière de vente des domaines pour l’ICANN » disent les chercheurs du SANS Institute dans un bulletin. « Un bon nombre de TLD comme .support, .club, etc. débarquent maintenant en ligne. Et, là encore, il semblerait que seuls les charlatans les achètent. »
Le SANS Institute étudie actuellement une vague de mails de phishing qui tentent de leurrer les utilisateurs avec une copie du site Internet de la Bank of America.
« Bien sûr, la principale différence est que tous les identifiants de connexion n’arrivent pas à la Bank of America, mais directement chez les pirates, qui ont ainsi accès aux comptes », explique l’organisation.
Pire. Les nouveaux TLD peuvent participer à l’échec de techniques réelles et fiables de lutte contre les cyberattaques.
« Depuis que les pirates peuvent détenir leur propre nom de domaine, et ainsi passer haut la main le contrôle de validation de domaine utilisé par certains certificats, ils peuvent se débrouiller pour obtenir un certificat SSL (Secure Socket Layer, protocole de sécurisation des échanges sur Internet) valide », explique le SANS. « L’ajout de ce SSL rend caduques nos propres systèmes de protection. Et quand un utilisateur clique sur un lien dans un mail de hameçonnage, le navigateur identifiera le site de destination comme sécurisé. »