Les raccourcisseurs d’URL de type Bit.ly sont-ils une vraie menace pour vos données ?

Une récente étude menée par deux chercheurs américains et qui s’est déroulée sur plusieurs mois, a montré qu’une habitude que beaucoup d’entre nous avons pris en utilisant les réseaux sociaux, n’est pas forcément la bonne. Il s’agit de l’utilisation des services d’abréviation d’URL.

Les raccourcisseurs d'URL sont une nouvelle menace pour la sécurité des données

Concrètement les services d’abréviation d’URL ou raccourcisseurs d’URL sont destinés à simplifier la vie des internautes, en leur permettant d’envoyer des messages très courts avec un lien qui normalement aurait dû être très long. Ils sont très pratiques sur des services comme Twitter, limités en nombre de caractères par exemple. Parmi les plus populaires on peut citer bit.ly.

Les raccourcisseurs  d’URL une fausse bonne idée

De nombreux services internet voyant l’intérêt de cette technologie ont commencé à avoir recours également à ce genre de raccourcisseurs d’URL. Le problème c’est que deux chercheurs, Vitaly Shmatikov et Martin Georgiev, ont analysé scrupuleusement ces liens pendant 18 mois et ont découvert qu’ils n’étaient pas générés aléatoirement comme on pourrait le croire en les voyant.

Ce détail pose un souci majeur au niveau de la sécurité, car il est donc possible de les deviner ou de les retrouver. Ces liens sont tous construits de la même façon : un nom de domaine et 6 caractères, avec une forte puissance de calcul il est donc possible de les deviner par force brute.

Pour preuves, les deux spécialistes sont parvenus à ouvrir des documents hébergés sur le cloud de Microsoft, sans connaître l’URL exacte, voire même sans connaître les identifiants d’accès au compte ! Plus gênant,  ils sont entrés sur plus d’un million de documents hébergés sur Onedrive parmi un scan de 100 millions d’adresses potentielles… Même cas de figure sur OnePoint ou sur Google Maps. Dans ce derniers cas, les chercheurs ont obtenu plus de 23 millions d’itinéraires, allant du transport de patient vers une clinique, d’un service police se rendant vers un centre pénitencier, du lambda moyen allant dans un club de striptease…

Comme on peut le voir, il s’agit d’importantes failles de sécurité, de possibles vols de données confidentielles ou de viol de la vie privée. Le risque étant démontré, les deux chercheurs préconisent de ne plus utiliser ce genre de service d’abréviation d’URL temporairement ou d’utiliser votre propre système personnalisé, tant que les problèmes ne seront pas résolus. Microsoft a déjà cessé d’utiliser ce système en niant toutefois que cette découverte en soit la raison et Google a complexifié son raccourcisseur avec désormais 12 caractères, preuve qu’il y a bien un problème de sécurité…

Source 1

Source 2

4 commentaires

  1. Le raccourcisseur en soi n’est pas le problème c’est le fait qu’une URL normale puisse mener à des données confidentielles ou personnelles non protégées qui est un manquement grave aux règles de sécurité.

    J’ai un exemple récent avec une campagne de communication d’une société qui a balancé des raccourcis à leurs clients, ce raccourci menait à une page affichant directement certaines données personnelles du client sans aucune demande d’identification/mot de passe.

    On entre donc dans la cadre de cet article, mais encore pire car en changeant le raccourci en augmentant un réduisant la valeur du dernier ou avant dernier caractère on tombait sur la fiche personnelle d’un autre client et ainsi de suite sur des centaines de clients sans effort ni besoin de tester des milliers de combinaisons, en fait le raccourci n’était pas le fruit d’un calcul compliqué effectué à partir de l’URL source mais une simple table de raccourcis incrémentaux préfabriqués avec un correspondance pour le lien final de chaque client visé !

    Et le pire dans l’histoire c’est que l’URL d’origine avait une sécurité minimum en ce sens que celle-ci contenait en paramètre le numéro de téléphone du client mais avec un autre paramètre qui était un hash salé ce qui rendait impossible de saisir un autre numéro au hasard car celui-ci n’aurait pas été couplé au bon hash accepté par le serveur … ce que le raccourci a totalement ruiné en fournissant le lien complet téléphone + hash.

    • Exactement !
      > Le soucis sont les données derrière ces SURL et non pas les systèmes type Bit.ly eux-même.

      Pour le reste, il y a YOURLS (très bon outil)

  2. Moi j’y crois pas trop. Les hackers ont bien d’autres moyens pour nous attaquer. C’est vrai qu’on pourrait se passer des URL raccourcies.

  3. Ah ouais. Donc que des documents « sensibles » ne soient même pas protégés par un accès basique login/password, ça devient la faute à la faiblesse de l’algo de génération des URL courtes ? J’ai dû rater une partie de la démonstration, je pense 🙂

Répondre

Lire les articles précédents :
iPhone Apple Pixabay
Pour vous espionner, ils n’ont besoin que de votre numéro de téléphone

Et utiliser un iPhone n’y change rien.

Fermer