url courtes créent dangers sécurités

Les url courtes créent des problèmes de sécurité

Bonjour les lecteurs,
Les url courtes vous trouvez ça bien, pratique et vous avez raison pourtant ces urls posent d’énormes problèmes au niveau de la sécurité.

Les générateurs d’url courtes en plein boom

Depuis quelques temps les générateurs d’url courtes ont le vent en poupe. Ces générateurs très souvent faciles d’accès permettent de créer des url réduites parfaites pour vos tweets par exemple.

Pourtant cette succès story cache un lourd secret qui va certainement vous freinez pour réutiliser ces générateurs. En effet deux chercheurs spécialisé en sécurité de l’université de Cornell Tech à New york, Vitaly Shmatikov et Martin Georgiev de leurs noms,  ont découvert une sérieuse faille de sécurité au niveau des url courtes générées.

Des url basées sur un algorithme très simple à décoder

Tous les bit.ly, les services cloud comme OneDrive bref tous les raccourcisseurs d’url utilisent un algorithme très simple à décoder.
Pour appuyer leur thèse, les deux chercheurs ont testé plus de 100 millions d’url courtes générées.

Ils ont même « en détail » montré le fonctionnement de Bit.ly et de OneDrive. bit.ly utilise plusieurs variables pour créer ses url courtes comme l’adresse du document ou du dossier ou bien le nom du compte. OneDrive quant à lui utilise une méthode très similaire à Bit.ly d’où le souci commun.

Les données d’un compte accessible très facilement

Les deux chercheurs ont crée un script permettant l’analyse d’un lien crée par un compte et tout ceci débouche sur un accès à tous les fichiers partagés par ce même compte. Grâce à ce script,  Vitaly Shmatikov et Martin Georgiev ont mis la main sur plus de 220 000 documents mis en ligne sur le Cloud par une entreprise (dont nous ne savons point le nom :P). Certains de ces fichiers n’étaient d’ailleurs pas protéger en écriture, pour les non-initiés cela veut dire que nos deux chercheurs auraient pu modifier les fichiers à leurs convenances.

Vitaly Shmatikov et Martin Georgiev ont également mis en lumière d’autres failles en continuant de fouiller ces sites générateurs d’url courtes. Une de ces failles permet en décodant l’algorithme de Google Maps de reconstruire des itinéraires entiers demandés par des utilisateurs. Il y a même encore plus préoccupant puisque ce décodage de l’algorithme de Google Maps permet la possibilité de parfois récupérer le nom, l’âge et l’adresse des utilisateurs.

Par l’intermédiaire de leur blog Vitaly (pas Popov joke analytics :P) Shmatikov et Martin Georgiev ont indiqué avoir contacté les firmes fautives, Bit.ly a parait-il d’ors-et-déjà rectifié le tir et Google travaille ardemment sur un correctif. Malgré tout méfiez-vous, ne mettez pas en danger vos sites internet et/ou vos données personnelles.

Aller à demain les lecteurs.

Tremerius

Laisser un commentaire