Désormais ancrés dans le paysage du Web, les hyperliens courts peuvent révéler beaucoup d’informations personnelles.
C’est le constat dressé par Martin Georgiev et Vitaly Shmatikov dans leur rapport « Gone in Six Characters: Short URLs Considered Harmful for Cloud Services » (document PDF, 11 pages).
Les deux chercheurs de l’université Cornell ont découvert que ces URL raccourcies sont élaborées sur une syntaxe prévisible qui peut être recherchée et identifiée pour extraire des données.
Dans le cadre de leurs travaux sur les services proposés par Google (goo.gl), Microsoft (1drv.ms), Bing Maps (binged.it) et Bitly (bit.ly), ils se sont aussi aperçus qu’il était possible de diffuser des logiciels malveillants en générant facilement des adresses préexistantes.
La technique employée par leurs soins n’est autre que la force brute. Elle a permis, entre autres, de mettre au jour un grand nombre de comptes OneDrive avec des documents personnels. Des comptes qui, pour la plupart, ne sont pas verrouillés et s’exposent à l’injection de malware.
Sur le volet Google Maps, Martin Georgiev et Vitaly Shmatikov ont examiné près de 24 millions de liens, dont 10 % contenaient des itinéraires « sensibles » comme des établissements de santé, des prisons ou des clubs de strip-tease, note Silicon.fr.
« Les entreprises et les personnes pensent qu’il s’agit simplement de partager un document avec un collaborateur, mais si vous partagez un lien court avec 6 caractères, vous le partagez avec le monde entier », concluent les deux chercheurs, qui précise que si Google et Microsoft ont appliqué des correctifs à leurs services respectifs, les anciens liens restent vulnérables.
Crédit photo : seanbear – Shutterstock.com
Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…
Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…
L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…
Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…
Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…
Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…