Sécurité IT : des URL courtes qui en disent long

Désormais ancrés dans le paysage du Web, les hyperliens courts peuvent révéler beaucoup d’informations personnelles.

C’est le constat dressé par Martin Georgiev et Vitaly Shmatikov dans leur rapport « Gone in Six Characters: Short URLs Considered Harmful for Cloud Services » (document PDF, 11 pages).

Les deux chercheurs de l’université Cornell ont découvert que ces URL raccourcies sont élaborées sur une syntaxe prévisible qui peut être recherchée et identifiée pour extraire des données.

Dans le cadre de leurs travaux sur les services proposés par Google (goo.gl), Microsoft (1drv.ms), Bing Maps (binged.it) et Bitly (bit.ly), ils se sont aussi aperçus qu’il était possible de diffuser des logiciels malveillants en générant facilement des adresses préexistantes.

La technique employée par leurs soins n’est autre que la force brute. Elle a permis, entre autres, de mettre au jour un grand nombre de comptes OneDrive avec des documents personnels. Des comptes qui, pour la plupart, ne sont pas verrouillés et s’exposent à l’injection de malware.

Sur le volet Google Maps, Martin Georgiev et Vitaly Shmatikov ont examiné près de 24 millions de liens, dont 10 % contenaient des itinéraires « sensibles » comme des établissements de santé, des prisons ou des clubs de strip-tease, note Silicon.fr.

« Les entreprises et les personnes pensent qu’il s’agit simplement de partager un document avec un collaborateur, mais si vous partagez un lien court avec 6 caractères, vous le partagez avec le monde entier », concluent les deux chercheurs, qui précise que si Google et Microsoft ont appliqué des correctifs à leurs services respectifs, les anciens liens restent vulnérables.

Crédit photo : seanbear – Shutterstock.com