Plusieurs sites ou plateformes vous proposent de raccourcir les adresses web (à savoir, les URL). Seulement, elles comportent souvent plusieurs failles de sécurité assez importantes.
Les plateformes qui permettent de raccourcir une URL se sont démultipliées à cause de leur succès auprès des utilisateurs. Elles servent à avoir des liens avec un nombre de caractères limités ou pour pouvoir les rentrer à la main. Seulement, deux chercheurs mettent en garde les utilisateurs et adeptes de ce genre de pratique.
Attention à votre URL
Il s’agit de deux chercheurs en sécurité de l’Université Cornell Tech à New York, Vitaly Shmatikov et Martin Georgiev, qui se sont rendu compte de cette faille. Des sites comme Bit.ly ou OneDrive avec son Cloud permettent aux utilisateurs de réduire la taille de leur URL. Seulement, l’algorithme qui est utilisé pour l’URL possède souvent une structure très simple à décoder.
Nos deux chercheurs ont alors décidé d’analyser pas moins de 100 millions d’URL afin de comprendre comment cela fonctionne. Ils se sont aperçu que des sites comme OneDrive et Bit.ly utilisaient des méthodes similaires, à savoir : citer plusieurs variables pour constituer des liens tronqués comme avec l’adresse du document en question ou du dossier. A partir de cette découverte, ils ont imaginé un script leur permettant d’analyser un lien raccourci par un site et d’accéder à l’ensemble des fichiers partagés sur le compte. Devinez quoi ? Ils ont réussi et ont pu retrouver 220 000 documents qui étaient mis en ligne par une entreprise sur OneDrive. Comme certains fichiers n’étaient pas protégés, ils ont également pu les modifier en toute simplicité.
De bons hackers peuvent donc sans problème s’introduire dans un cloud, mettre la main sur des fichiers importants et même les modifier.
Toujours dans le cadre de leurs recherches, ils ont également pu apercevoir d’autres failles, notamment avec Google Maps. Ils sont parvenus à retracer l’itinéraire de certains utilisateurs, et même trouver leurs noms, âges et adresses.
Les firmes concernées ont été alertées par Vitaly Shmatikov et Martin Georgiev. Bit.ly affirme avoir déjà fait le nécessaire pour réparer cette faille, quant à Google, il serait en train de préparer un correctif.
