Skip to main content

Deux chercheurs en sécurité ont découvert que les services pour raccourcir les URLs n’étaient pas aussi sécurisés que prévu.

Générer une URL raccourcie pour partager du contenu peut sembler une bonne idée, mais cela peut également vous exposer à des risques de sécurité inutiles. Deux chercheurs de l’université Cornell tech à New York, Vitaly Shmatikov et Martin Georgiev, révèlent dans un billet de blog que les URLs les plus courtes peuvent être utilisées par des pirates pour installer des logiciels malveillants, copier des fichiers personnels, et récupérer toutes sortes de renseignements personnels, comme votre adresse, entre autres choses.

URL réduit ou un lien bit.ly, Kézako ?

Les réducteurs de liens, comme leur nom l’indique, sont destinés à réduire la taille des liens, qui peut contenir des dizaines de caractères, à généralement quelques lettres et chiffres. Cela a des avantages évidents: un partage plus facile par SMS ou sur Twitter, c’est visuellement plus attractif dans les conversations, et certains services permettent même de suivre le nombre de clics pour un lien spécifique. Mais le fait qu’ils ne contiennent qu’une poignée de caractères les rend plus vulnérables à la recherche par force brute.

Avec des liens standards, il est extrêmement difficile de trouver beaucoup de combinaisons exploitables à des fins malveillantes. Si vous avez, disons, trois douzaines de caractères, cela prendrait beaucoup de temps pour passer par toutes les combinaisons possibles, d’essayer chacune d’entre elles, pour voir où le lien peut mener. De plus, des services bien conçus bloqueraient probablement l’accès à ce compte dans de tels cas. Pendant ce temps, avec une URL raccourcie qui contient généralement environ cinq ou six caractères, des lettres et des chiffres, il est beaucoup plus facile d’extraire des données étant donné que le nombre de tentatives est plus réduit.

bit ly

Au cours de leurs recherches, les deux chercheur se sont penchés sur les services proposés par Google (goo.gl), Microsoft (1drv.ms), Bing Maps (binged.it) et Bit ly (bit.ly). En ayant simplement recours à la force brute, ils ont réussi à mettre au jour un grand nombre de comptes OneDrive, non verrouillés, contenant des documents personnels. Sur un scan de 100 millions d’adresses potentielles, ils ont eu accès à plus d’un million de documents hébergés sur la plateforme.

Sur Google Maps, Martin Georgiev et Vitaly Shmatikov ont détecté plus de 23 millions de liens fonctionnels, redirigeant vers des itinéraires ou des destinations enregistrées par différents utilisateurs sur le service de Google. « Parmi ces différents liens, de nombreux trajets sont ainsi liés à des itinéraires parfois sensibles : des cliniques dédiées à certaines maladies spécifiques, des centres de traitement pour la toxicomanie, ou des cliniques proposant des avortements, des centres correctionnels ou des maisons d’arrêt ou encore des clubs de strip tease » explique Vitaly Shmatikov.

Google a rapidement réagi en passant à 11 ou 12 caractères pour ses URLs raccourcies, un changement suffisant pour être à l’abri d’une attaque par force brute.

Les deux chercheurs avaient également prévenu Microsoft mais aucune correction n’a pas été apportée. Toutefois, l’option de raccourcissement d’URL dans OneDrive a été désactivée le mois denier.