Des experts en cybersécurité ont découvert que les URL personnalisés de Google Docs, Zoom ou Box peuvent être copiés ou modifiés à volonté. Un pirate informatique pourrait envoyer un lien sans que la victime suspecte un piège dans l’adresse.

Il est plus facile d’usurper un grand groupe qu’on ne le pense. Les chercheurs de Varonis, une société spécialisée dans la cyber sécurité ont détecté une faille dans les URL de services comme Google Docs, Zoom ou Box.

Ces entreprises utilisent des adresses web personnalisées pour partager des fichiers, inviter une personne à une visio-conférence, etc. Or, Varonis a découvert que seulement une partie de cet URL est protégée, le reste est modifiable.

Les chercheurs donne un exemple dans leur rapport publié ce 11 mai 2022. Zoom, l’application populaire de visioconférence, propose à ses clients de personnaliser le sous domaine. Ainsi on pourrait par exemple demander une adresse numerama.zoom.com afin que nos employés lancent une réunion en ligne ou un webinar.

Les experts de Varonis se sont attaqués aux liens de réunions déjà enregistrées ou de webinair et dans de nombreux cas sont parvenus à modifier l’URL ou le rediriger vers une autre adresse sans que l’utilisateur ne s’en rendent compte.

Ainsi il serait possible de proposer à un employé de visionner la dernière réunion enregistrée sous l’adresse numerama.zoom.com, mais cette dernière renvoie en réalité vers un lien frauduleux. Concernant Zoom, dans la plupart des cas, l’application prévenait que l’utilisateur se dirigeait vers un autre nom de domaine.

Ici les chercheurs de Varonis se font passer pour Apple dans leur lien. // Source : Varonis
Ici les chercheurs de Varonis se font passer pour Apple dans leur lien. // Source : Varonis

Un google doc partagé en public pourrait contenir un lien de phishing

Des URL Google Docs, ou Box – une appli de partage de contenu –, ont également été testés par Varonis. Concernant Box, les faille se situent dans les liens de partage de fichier. Un faux PDF pourrait par exemple contenir un lien d’hameçonnage.

Quant à Google Docs, un attaquant peut envoyer un formulaire à des employés, leur demandant des informations personnelles, sans que la victime ait le moindre doute. L’adresse affichée sera bien celle de l’entreprise.

L'URL de ce formulaire Google a été modifié par Varonis pour faire croire à un lien saleforces. // Source : Varonis
L’URL de ce formulaire Google a été modifié par Varonis pour faire croire à un lien saleforces. // Source : Varonis

Autre piège, le hacker peut également choisir de rendre public un google doc et modifier ensuite son adresse. Là aussi, le lien peut renvoyer vers un site de phishing afin d’infecter ou bloquer l’ordinateur de la victime.

Comment se protéger quand l’adresse affichée n’a rien de suspicieux ? Or Emmanuel, directeur de recherche et sécurité chez Varonis explique que les employés doivent redoubler de prudence : « S’ils reçoivent un formulaire, un fichier qui n’a rien avec leur quotidien au bureau, il est toujours préférable d’en discuter avec ses supérieurs en amont pour s’assurer que l’entreprise est bien à l’origine de ce document. »

« Évidemment, c’est également aux groupes cités de travailler sur la sécurité de leurs service », ajoute t-il. Les trois entreprises ont d’ailleurs toutes été informées par Varonis. Box confirme corrigé la faille, Zoom a intégré un système de prévention mais des brèches subsisteraient encore chez Google Forms et Docs.

Une faille loin d’être anodine quand on sait que les vols d’informations explosent : en 2021, la CNIL a reçu près de 3 000 notifications résultant d’un piratage informatique, soit une hausse de 128 % par rapport à 2020. 70% des attaques visent des PME et des microentreprises, les victimes favorites des hackers.

une comparateur meilleur vpn numerama

Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.