Il est possible d’usurper Google Docs ou Zoom pour hacker quelqu’un

Des experts en cybersécurité ont découvert que les URL personnalisés de Google Docs, Zoom ou Box peuvent être copiés ou modifiés à volonté. Un pirate informatique pourrait envoyer un lien sans que la victime suspecte un piège dans l’adresse.

Il est plus facile d’usurper un grand groupe qu’on ne le pense. Les chercheurs de Varonis, une société spécialisée dans la cyber sécurité ont détecté une faille dans les URL de services comme Google Docs, Zoom ou Box.

Ces entreprises utilisent des adresses web personnalisées pour partager des fichiers, inviter une personne à une visio-conférence, etc. Or, Varonis a découvert que seulement une partie de cet URL est protégée, le reste est modifiable.

Les chercheurs donne un exemple dans leur rapport publié ce 11 mai 2022. Zoom, l’application populaire de visioconference, propose to ses clients of the persona sous domaine. Ainsi on pourrait par exemple demander une adresse numerama.zoom.com afin que nos employés lancent une réunion en ligne ou un webinar.

Les experts de Varonis se sont attaqués aux liens de réunions déjà enregistrées ou de webinair et dans de nombreux cas sont parvenus à modifier l’URL ou le rediriger vers une autre adresse sans que l’utilis’ compteur ren ne

Ainsi il serait possible de proposer à un employé de visionner la dernière réunion enregistrée sous l’adresse numerama.zoom.com, mais cette dernière renvoie en réalité vers un lien frauduleux. Concernant Zoom, dans la plupart des cas, l’application prévenait que l’utilisateur se dirigeait vers un autre nom de domaine.

Ici les chercheurs de Varonis se font passer pour Apple dans leur lien. // Source : Varonis

Un google doc partagé en public pourrait contenir un lien de phishing

Des URL Google Docs, ou Box – une appli de partage de contenu –, ont égallement été testés par Varonis. Concernant Box, les faille se situent dans les liens de partage de fichier. Un faux PDF pourrait par exemple contenir un lien d’hameçonnage.

Quant à Google Docs, un attaquant peut envoyer un formulaire à des employés, leur demandant des informations personnelles, sans que la victime ait le moindre doute. L’adresse affichée sera bien celle de l’entreprise.

L'URL de ce formulaire Google a été modifié par Varonis pour faire croire à un lien saleforces.  // Source : Varonis
L’URL de ce formulaire Google a été modifié par Varonis pour faire croire à un lien saleforces. // Source : Varonis

Autre piège, le hacker peut égallement choisir de rendre public un google doc et modifier ensuite son adresse. Là aussi, le lien peut renvoyer vers un site de phishing afin d’infecter ou bloquer l’ordinateur de la victime.

Comment se protéger quand l’adresse affichée n’a rien de suspicieux ? Or Emmanuel, directeur de recherche et sécurité chez Varonis explique que les employés doivent redoubler de prudence: « S’ils reçoivent un formulaire, un fichier qui n’a rien avec leur quotidien au bureau, il est toujours préférable d’en discuter avec ses supérieurs en amont pour s’assurer que l’entreprise est bien de ce l’orig . »

« Évidemment, c’est égallement aux groupes cités de travailler sur la sécurité de leurs service », ajoute t-il. Les trois entreprises ont d’ailleurs toutes été informées par Varonis. Box confirme corrigé la faille, Zoom a intégré un système de prévention mais des brèches subsisteraient encore chez Google Forms et Docs.

Une faille loin d’être anodine quand on sait que les vols d’informations explosent : en 2021, la CNIL a reçu près de 3 000 notifications résultant d’un piratage informatique, soit une hausse de 128 % par rapport à 2020. 70% des attaques visent des PME et des microentreprises, les victimes favorites des hackers.

Pour aller plus loin

Source : Pixabay

Leave a Comment