Sécurité : attention aux URL courtes !
Deux chercheurs en sécurité informatique ont relevé que les services permettant de raccourcir les adresses web (URL) comportaient souvent des problèmes de sécurité assez importants.
Les plateformes permettant de générer des URL courtes connaissent un franc succès. Ces dernières principalement utilisées pour obtenir des liens avec un nombre minimum de caractères afin de gagner de la place sur les services où la taille des messages est limitée, comme Twitter par exemple, ou encore rentrer à la main une adresse web rédigée quelque part.
Si vous êtes adeptes de ce type de service, attention ! Deux chercheurs en sécurité de l’Université Cornell Tech à New York, Vitaly Shmatikov et Martin Georgiev, ont mis en lumières une faille de sécurité importante concernant les URL raccourcies.
Les URL courtes ne sont pas très sécurisées
Bit.ly ou encore les services Cloud comme OneDrive permettent de générer des URL abrégées. Mais pour Vitaly Shmatikov et Martin Georgiev, l’algorithme utilisé par les raccourcisseurs d’URL est souvent basé sur une structure très simple à décoder.
Pour leurs travaux, les deux chercheurs ont passé au crible la bagatelle de 100 millions d’URL pour comprendre la manière dont travaillent Bit.ly ou OneDrive. Le premier cité utilise plusieurs variables pour la constitution de ses liens tronqués, comme l’adresse du document ou du dossier ou encore le nom du compte. Quant à OneDrive, il utilise une méthode similaire.
Accéder à l’ensemble des données d’un compte très facilement
Vitaly Shmatikov et Martin Georgiev ont alors imaginé un script qui permet d’analyser le lien créé par un compte et ainsi accéder à tous les fichiers partagés par ce même compte. Ils ont comme cela réussi à mettre la main sur 220 000 documents mis en ligne par une entreprise sur le service cloud de Microsoft. Pire encore, certains de ces fichiers n’étaient pas protégés en écriture et ils auraient donc pu les modifier. On imagine sans mal transformer l’un des fichiers pour y insérer du code malveillant et ainsi, s’introduire dans le réseau de l’entreprise.
En continuant à fouiller sur les services proposant des raccourcisseurs d’URL, les deux compères ont mis en lumière d’autres failles. En décodant l’algorithme utilisé par Google Maps, ils sont parvenus à reconstruire des itinéraires demandés par les utilisateurs et parfois, retrouver son nom, son âge et son adresse. Les deux chercheurs indiquent sur leur blog avoir prévenu les firmes concernées. Bit.ly aurait déjà fait le nécessaire et Google préparerait un correctif.