Il est plus facile d’usurper un grand groupe qu’on ne le pense. Les chercheurs de Varonis, une société spécialisée dans la cyber sécurité ont détecté une faille dans les URL de services comme Google Docs, Zoom ou Box.
Ces entreprises utilisent des adresses web personnalisées pour partager des fichiers, inviter une personne à une visio-conférence, etc. Or, Varonis a découvert que seulement une partie de cet URL est protégée, le reste est modifiable.
Les chercheurs donne un exemple dans leur rapport publié ce 11 mai 2022. Zoom, l’application populaire de visioconférence, propose à ses clients de personnaliser le sous domaine. Ainsi on pourrait par exemple demander une adresse numerama.zoom.com afin que nos employés lancent une réunion en ligne ou un webinar.
Les experts de Varonis se sont attaqués aux liens de réunions déjà enregistrées ou de webinair et dans de nombreux cas sont parvenus à modifier l’URL ou le rediriger vers une autre adresse sans que l’utilisateur ne s’en rendent compte.
Ainsi il serait possible de proposer à un employé de visionner la dernière réunion enregistrée sous l’adresse numerama.zoom.com, mais cette dernière renvoie en réalité vers un lien frauduleux. Concernant Zoom, dans la plupart des cas, l’application prévenait que l’utilisateur se dirigeait vers un autre nom de domaine.
Un google doc partagé en public pourrait contenir un lien de phishing
Des URL Google Docs, ou Box – une appli de partage de contenu –, ont également été testés par Varonis. Concernant Box, les faille se situent dans les liens de partage de fichier. Un faux PDF pourrait par exemple contenir un lien d’hameçonnage.
Quant à Google Docs, un attaquant peut envoyer un formulaire à des employés, leur demandant des informations personnelles, sans que la victime ait le moindre doute. L’adresse affichée sera bien celle de l’entreprise.
Autre piège, le hacker peut également choisir de rendre public un google doc et modifier ensuite son adresse. Là aussi, le lien peut renvoyer vers un site de phishing afin d’infecter ou bloquer l’ordinateur de la victime.
Comment se protéger quand l’adresse affichée n’a rien de suspicieux ? Or Emmanuel, directeur de recherche et sécurité chez Varonis explique que les employés doivent redoubler de prudence : « S’ils reçoivent un formulaire, un fichier qui n’a rien avec leur quotidien au bureau, il est toujours préférable d’en discuter avec ses supérieurs en amont pour s’assurer que l’entreprise est bien à l’origine de ce document. »
« Évidemment, c’est également aux groupes cités de travailler sur la sécurité de leurs service », ajoute t-il. Les trois entreprises ont d’ailleurs toutes été informées par Varonis. Box confirme corrigé la faille, Zoom a intégré un système de prévention mais des brèches subsisteraient encore chez Google Forms et Docs.
Une faille loin d’être anodine quand on sait que les vols d’informations explosent : en 2021, la CNIL a reçu près de 3 000 notifications résultant d’un piratage informatique, soit une hausse de 128 % par rapport à 2020. 70% des attaques visent des PME et des microentreprises, les victimes favorites des hackers.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !