Qu’est-ce que le .SVG, nouveau vecteur d’attaque pour les cybercriminels ?

 
Les cyberpirates ne manquent jamais d’imagination pour mener à bien leurs méfaits. La nouvelle technique à la mode consiste à s’appuyer sur des fichiers SVG, pas forcément bien connus du grand public.

Il faut toujours se méfier des pièces jointes dans les mails. Utilisés depuis longtemps pour des campagnes de piratage à grande échelle, ces fichiers peuvent être bien plus malicieux qu’il n’y paraît. Et après s’être reposés sur de bêtes images en .PNG et .JPG, les cybercriminels les plus à la mode sont désormais passés au .SVG, note Bleeping Computer.

C’est quoi un fichier SVG ?

Acronyme de Scalable Vector Graphics, les fichiers en .SVG sont donc, comme leur nom l’indique, des images vectorielles. C’est-à-dire que, plutôt que d’encoder des informations pixel par pixel, elles contiennent du code « décrivant » l’image. Par exemple, pour créer une ligne de couleur rouge de 100 px, un fichier SVG va simplement préciser l’épaisseur, la longueur et la couleur de la ligne, là où un fichier JPG « classique » devra indiquer un à un la teneur des 100 pixels qui constituent la ligne.

Très efficace pour générer des formes « simples », comme des graphiques ou des logos, les fichiers SVG sont surtout appréciés pour leur capacité à s’adapter à n’importe quelle résolution d’écran. Puisqu’il s’agit simplement d’interpréter du code et non pas de déchiffrer une image au nombre de pixels fixe, les fichiers SVG peuvent apparaître aussi grands ou aussi petits que nécessaire, sans perdre en qualité.

Les images vectorielles peuvent être agrandies à l’infini // Source : tiger66 – Wikimedia Commons (CC BY-SA 2.5)

Une image SVG pensée pour prendre 30 % de l’écran disponible s’affichera de la même manière, et sans perdre en qualité, sur un écran de téléphone ou sur une télé 55 pouces.

Pourquoi c’est dangereux ?

Mais alors pourquoi les fichiers SVG sont désormais prisés par les cybercriminels en tout genre ? Et bien, comme le note Bleeping Computer, qui s’appuie sur des recherches effectuées par le collectif MalwareHunterTeam, les fichiers SVG permettent d’embarquer du code HTML et d’exécuter des éléments en JavaScript lors de leurs ouvertures.

Si tout ça ne vous éclaire pas plus, cela signifie qu’une image .SVG peut quasiment se faire passer pour un site web interactif. Ainsi, il devient facile de créer de toutes pièces des faux sites avec des faux invités de connexion pour subtiliser des identifiants ou des mots de passe.

Pour aller plus loin
« Votre carton était trop volumineux pour la boite aux lettres » : attention à cette nouvelle arnaque qui imite La Poste

Malheureusement, comme le code malicieux est souvent caché derrière la bête description d’une image, bon nombre de programmes antivirus ne détectent pas immédiatement la menace. Pour vous protéger d’un quelconque problème, donc, n’ouvrez pas des pièces jointes dont vous ignorez la provenance et si vous ne travaillez pas avec des fichiers SVG, n’ouvrez SURTOUT pas ces pièces jointes là.


Envie de rejoindre une communauté de passionnés ? Notre Discord vous accueille, c’est un lieu d’entraide et de passion autour de la tech.