Plusieurs plateformes web proposent des services de raccourcissement les adresses web / URL. Il convient d'être prudent quant à cet usage, en effet, il y a souvent plusieurs failles de sécurité.
Les plateformes qui permettent de raccourcir les URLs ont quelque peu fleuries sur le web. Elles servent à avoir des liens avec un nombre de caractères limités ou pour pouvoir les rentrer principalement sur des réseaux sociaux comme twitter où la quantité de caractère est limitée.
Il est bon d'être prudent !
Attention à votre URL
Deux chercheurs en sécurité de l'Université Cornell Tech à New York, Vitaly Shmatikov et Martin Georgiev, se sont rendu compte d'une belle faille.
Des sites comme Bit.ly ou OneDrive avec son Cloud permettent aux utilisateurs de réduire la taille de leur URL. Seulement, l'algorithme qui est utilisé pour l'URL possède souvent une structure très simple à décoder.
Nos deux chercheurs ont alors décidé d'analyser pas moins de 100 millions d'URL afin de comprendre comment cela fonctionne. Ils se sont aperçu que des sites comme OneDrive et Bit.ly utilisaient des méthodes similaires, à savoir : citer plusieurs variables pour constituer des liens tronqués comme avec l'adresse du document en question ou du dossier. A partir de cette découverte, ils ont imaginé un script leur permettant d'analyser un lien raccourci par un site et d'accéder à l'ensemble des fichiers partagés sur le compte.
Et devinez quoi ? Ils ont réussi et ont pu retrouver 220 000 documents qui étaient mis en ligne par une entreprise sur OneDrive. Comme certains fichiers n'étaient pas protégés, ils ont également pu les modifier en toute simplicité.
De bons hackers peuvent donc sans problème s'introduire dans un cloud, mettre la main sur des fichiers importants et même les modifier.
Toujours dans le cadre de leurs recherches, ils ont également pu s'apercevoir d'autres failles, notamment avec Google Maps. Ils sont parvenus à retracer l'itinéraire de certains utilisateurs, et même trouver leurs noms, âges, adresses, etc...
Les firmes concernées ont été alertées. Bit.ly affirme avoir déjà fait le nécessaire pour réparer cette faille, quant à Google, il serait en train de préparer un correctif.