Pour gérer vos consentements :
Categories: RisquesSécurité

Sécurité IT : des URL courtes qui en disent long

Désormais ancrés dans le paysage du Web, les hyperliens courts peuvent révéler beaucoup d’informations personnelles.

C’est le constat dressé par Martin Georgiev et Vitaly Shmatikov dans leur rapport « Gone in Six Characters: Short URLs Considered Harmful for Cloud Services » (document PDF, 11 pages).

Les deux chercheurs de l’université Cornell ont découvert que ces URL raccourcies sont élaborées sur une syntaxe prévisible qui peut être recherchée et identifiée pour extraire des données.

Dans le cadre de leurs travaux sur les services proposés par Google (goo.gl), Microsoft (1drv.ms), Bing Maps (binged.it) et Bitly (bit.ly), ils se sont aussi aperçus qu’il était possible de diffuser des logiciels malveillants en générant facilement des adresses préexistantes.

La technique employée par leurs soins n’est autre que la force brute. Elle a permis, entre autres, de mettre au jour un grand nombre de comptes OneDrive avec des documents personnels. Des comptes qui, pour la plupart, ne sont pas verrouillés et s’exposent à l’injection de malware.

Sur le volet Google Maps, Martin Georgiev et Vitaly Shmatikov ont examiné près de 24 millions de liens, dont 10 % contenaient des itinéraires « sensibles » comme des établissements de santé, des prisons ou des clubs de strip-tease, note Silicon.fr.

« Les entreprises et les personnes pensent qu’il s’agit simplement de partager un document avec un collaborateur, mais si vous partagez un lien court avec 6 caractères, vous le partagez avec le monde entier », concluent les deux chercheurs, qui précise que si Google et Microsoft ont appliqué des correctifs à leurs services respectifs, les anciens liens restent vulnérables.

Crédit photo : seanbear – Shutterstock.com

Recent Posts

Windows 11 : une mise à jour majeure apporte de nouvelles fonctionnalités

Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…

1 mois ago

Microsoft 365 : comment Copilot se déploie dans toutes les applications

L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…

1 mois ago

PC Copilot + : Microsoft veut garder Recall

Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…

2 mois ago

Windows 11 : comment Microsoft va réduire la taille des mises à jour

Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…

4 mois ago

Windows 11 : comment Bloc-notes va remplacer WordPad

Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…

4 mois ago

PC Copilot+ : Microsoft passe Recall en opt-in

Microsoft modifie la fonctionnalité de Recall sur les PC Copilot+ qui passe en opt-in. Reste…

4 mois ago