Depuis de nombreuses années, les raccourcisseurs d’URL se sont fortement développés. Or, deux chercheurs américains se sont penchés sur l’aspect sécuritaire des systèmes d’abréviation d’URL dans le cloud pour arriver à la conclusion que des dangers existent face aux e-menaces.
Les URL peuvent être raccourcies pour simplifier la vie des internautes notamment sur les réseaux sociaux et les mails, mais des chercheurs américains ont mis en évidence des risques liés à la sécurité des données vis-à-vis des cybercriminels et de la perte de confidentialité, notamment sur le service Bit.ly.
En effet, les chercheurs Vitaly Shmatikov et Martin Georgiev ont découvert, via une étude longue de 18 mois, que ces liens abrégés n’étaient pas générés aléatoirement et pouvaient donc être devinés par un attaquant disposant d’une puissance de calcul suffisante. Le soucis se situe dans les 6 caractères suivants le nom de domaine du raccourcisseur d’URL, qui peuvent donc mener à un test des possibilités via la méthode de la force brute, comme l’expliquent les chercheurs.
Attention, ils se sont aussi attaqués à des services cloud majeurs comme Microsoft OneDrive ou encore Google Maps. L’attaque s’est révélée facile et a donné accès à des milliers de documents personnels non protégés. Sur OneDrive, un scan de 100 millions d’adresses potentielles leur a ainsi ouvert l’accès à plus d’un million de documents hébergés sur la plateforme. Les chercheurs ont également découvert que la structure des URL raccourcies de OneDrive permettait à un utilisateur disposant d’un lien envoyé par un utilisateur et lié à un document hébergé sur le compte de l’utilisateur peut permettre à un attaquant de simplement remonter l’arborescence des autres fichiers hébergés par cet utilisateur sur le service cloud.
Vitaly Shmatikov et Martin Georgiev ont développé pour cela un script qui permet d’analyser le lien créé par un compte et ainsi accéder à tous les fichiers partagés par ce même compte. Ils ont réussi en outre à mettre la main sur 220 000 documents mis en ligne par une entreprise sur le service cloud de Microsoft. Pire encore, certains de ces fichiers n’étaient pas protégés en écriture et ils auraient donc pu les modifier. On imagine sans mal transformer l’un des fichiers pour y insérer du code malveillant et ainsi, s’introduire dans le réseau de l’entreprise.
Quant à Google Maps, en décodant l’algorithme utilisé par le service, ils sont parvenus à reconstruire des itinéraires demandés par les utilisateurs (plus de 23 millions tout de même) et parfois, retrouver son nom, son âge et son adresse. Les deux chercheurs indiquent sur leur blog avoir prévenu les firmes concernées. Bit.ly aurait déjà fait le nécessaire et Google préparerait un correctif. Microsoft aurait entièrement cessé de proposer des URL raccourcies à ses utilisateurs…
Les chercheurs recommandent d’utiliser des adresses plus longues et d’utiliser son propre service d’abréviation d’URL plutôt que de passer par un service tel que Bit.ly pour générer ces adresses.
A part pour Twitter, j’avoue de ne pas avoir trop compris l’intérêt des URL raccourcies… des conseils ?
Les commentaires sont fermés.