Les cyberhackers ne manquent jamais d’imagination pour mener à bien leurs méfaits. La nouvelle technique à la mode consiste à s’appuyer sur des fichiers SVG, pas forcément bien connus du grand public.
Vous devez toujours vous méfier des pièces jointes dans les e-mails. Longtemps utilisés dans des campagnes de piratage à grande échelle, ces fichiers peuvent être bien plus malveillants qu’il n’y paraît. Et après s’être appuyés sur des images stupides en .PNG et .JPG, les cybercriminels les plus en vogue sont désormais passés au .SVG, remarque Ordinateur qui bipe.
Qu’est-ce qu’un fichier SVG ?
Acronyme de Graphiques vectoriels évolutifsLes fichiers .SVG sont donc, comme leur nom l’indique, des images vectorielles. Autrement dit, plutôt que de coder les informations pixel par pixel, ils contiennent du code « décrivant » l’image. Par exemple, pour créer un trait de couleur rouge de 100 px, un fichier SVG précisera simplement l’épaisseur, la longueur et la couleur du trait, alors qu’un fichier JPG « classique » devra indiquer un à un le contenu des 100 pixels qui le composent. constituent la ligne.
Très efficaces pour générer des formes « simples », comme des graphiques ou des logos, les fichiers SVG sont surtout appréciés pour leur capacité à s’adapter à n’importe quelle résolution d’écran. Puisqu’il s’agit simplement d’interpréter du code et non de déchiffrer une image avec un nombre de pixels fixe, les fichiers SVG peuvent apparaître aussi grands ou aussi petits que nécessaire, sans perte de qualité.
Une image SVG conçue pour occuper 30 % de l’écran disponible s’affichera de la même manière, et sans perte de qualité, sur un écran de téléphone ou sur un téléviseur de 55 pouces.
Pourquoi est-ce dangereux ?
Mais alors pourquoi les fichiers SVG sont-ils désormais populaires auprès des cybercriminels de tous bords ? Eh bien, comme indiqué Ordinateur qui bipeBasés sur des recherches menées par le collectif MalwareHunterTeam, les fichiers SVG permettent d’embarquer du code HTML et d’exécuter des éléments JavaScript à l’ouverture.
Si tout cela ne vous éclaire pas davantage, cela signifie qu’une image .SVG peut presque passer pour un site Web interactif. Ainsi, il devient facile de créer de faux sites à partir de zéro avec de faux invités de connexion pour voler des noms d’utilisateur ou des mots de passe.
Pour aller plus loin
« Votre boîte était trop volumineuse pour la boîte aux lettres » : attention à cette nouvelle arnaque qui imite La Poste
Malheureusement, comme le code malveillant se cache souvent derrière la description stupide d’une image, de nombreux programmes antivirus ne détectent pas immédiatement la menace. Pour vous prémunir de tout problème, n’ouvrez donc pas de pièces jointes dont vous ne connaissez pas l’origine et si vous ne travaillez pas avec des fichiers SVG, SURTOUT n’ouvrez pas ces pièces jointes.
Rejoignez-nous de 17h à 19h, un jeudi sur deux, pour le spectacle OUVRIR produit par Frandroïde Et Numéroma ! Actualités tech, interviews, conseils et analyses… Rendez-vous en direct sur Twitch ou en rediffusion sur YouTube !