Les URL courtes attisent l'appétit de Google et de Facebook : une bonne nouvelle pour la sécurité ?

[Annaelle32]

Mise à jour du 15/12/09

Les URL courtes attisent l'appétit de Google
Celui de Facebook également : une bonne nouvelle pour la sécurité des URL-Shortners ?


Les URL raccourcies sont en plein essor. La cause tient en un mot : micro-blogging.

Sur ces services (en tête desquels Twitter) les messages ne doivent pas dépasser les 140 caractères. Y inclure un lien vers une page n'est possible que grâce à ces "raccourcisseurs" d'URL (URL-Shortner).

Le marché des URL-Shortner devient de plus en plus stratégique à mesure que le micro-blogging gagne en popularité.
Facebook est par exemple devenu un outil, y compris dans le domaine pro, pour ce genre d'usage. Une utilisation qui n'était pas prévu au lancement du site.

Trois nouvelles viennent de tomber. Elles montrent que la guerre des URL-Shortner est sur le point d'éclater.

Tout d'abord, bit.ly, le site leader du marché avec plus de... 2 milliards de liens redirigés ! Et ce malgré quelques problèmes de sécurité.
Bit.ly vient de lancer une offre "Pro" destiné justement à sécuriser les URLs. En résumé, les adhérants peuvent bénéficier des services de bit.ly en customisant leur URLs.

Par exemple seul le New-York Times aura une redirection de type "nyti.ms".
De cette manièr, l'URL raccourci devient en même temps un label de confiance face à des URL anonymes qui peuvent rediriger n'importe où.

Bit.ly propose également à ses clients Pro un tableau de bord pour analyser en temps réels les audiences qui transitent par son site.

Autre nouvelle : Facebook s'est discrètement lancé - lui aussi - dans le URL-Shortning.

Tout comme Bit.ly, le réseau social veut sécuriser ses liens en les personnalisant. La encore, des URLs du style "fb.me" font office de lien de confiance agréés par Facebook.

Mais le plus gros nouvel entrant reste Google.

Après son DNS alternatif, Moutain View continue à infiltrer le net en lançant son propre service : Goo.gl.

A la différence de Bit.ly, Google ne propose pas (encore) un site dédié qui permet de rentrer une URL longue et de récupérer une URL courte.
Le produit est actuellement inclus dans la Google Toolbar et dans Feedburner RSS (l'agrégateur de flux RSS maison).

Les deux arguments de poids de Google sont la sécurité et l'intégration dans les pages Webs.

La sécurité car Google promet de vérifier les URLs de destination et de bloquer purement et simplement les redirections assimilables à du spam ou à du phishing (là où Bit.ly ne propose qu'un message d'alerte).

L'intégration ensuite. Chaque Webmestre pourra à moyen teme intégrer le "raccourcisseur" de Moutain View dans sa page sous forme d'une API.
On imagine la force de frappe du service dès qu'il sera intégrer aux sites de la galaxie Google (Youtbe, Blogger, Maps, etc.).

Goole pense également à rendre le service totalement indépendant de ses outils.

Comme Bit.ly en quelque sorte. Ce qui serait une déclaration de guerre en bonne et due forme après avoir tenté de racheter la start-up.

Vue la tendance actuelle que Google et Microsoft ont de se concurrencer sur tous les secteurs, une quatrième nouvelle en provenance de Redmond pourrait-elle arriver ?

Source : L'annonce de Google, celle de Bit.ly, et celle de Facebook


Et vous ?

Pensez-vous que Google se diversifie trop ?
D'après vous, quel sera l'avenir de Bit.ly avec ces deux nouveaux entrants ?
Les liens personnalisés vous semblent-ils une bonne solution de sécurité pour les URL-Shortners ?


Mise à jour de Gordon Fowler



09/12/09

Nouvelle protection contre l'utilisation crapuleuse des URL courtes
Mais la solution semble encore très imparfaite


La multiplication des tentatives de phishing, spams et autres pratiques d'attaques malicieuses a connu un nouveau développement avec l'arrivée des URL courtes (lire par ailleurs ci-dessous).

Pour mémoire, les URL courtes sont des liens plus faciles à poster sur les site sociaux et qui redirigent vers les URL longues des sites visés. Elles sont même devenues indispensables pour des services de micro-blogging comme Twitter qui limite à 140 le nombre de caractères dans un message.

Le problème est que ce type d'outil permet de masquer l'URL cible. Et rend donc les tentatives de phishing ou de détournement vers des sites malicieux beaucoup plus dures à repérer.

Deux sites sont particulièrement visés : Facebook et Twitter. Mais c'est bel et bien Bit.ly, le principal "URL-shortener" qui se retrouve dans l'œil du cyclone.

Conscient que les détournements que son outil permet pouvait représenter l'arrêt de mort de sa société, Andrew Cohen, le Genaral Manager de bit.ly, vient d'annoncer des mesures pour mettre fin à l'utilisation crapuleuse de son service.

Certains diront qu'il était temps.

A présent, les 40 millions de liens postés quotidiennement sur bit.ly seront examinés grâce à un partenariat avec Sophos, Verisign et Websense

Mais la réaction semble encore très mitigée. Trop diront certains.

Un lien potentiellement malicieux ne sera pas bloqué ou effacé. "Si vous cliquez sur une URL et que rien ne se passe vous allez juste penser que bit.ly ne focntionne pas, et vous ne saurez pas nécessairement que nous vous protégeons contre un mauvais site", souligne Cohen.

L'URL courte redirigera donc vers un message d'avertissement. Puis dans un deuxième temps vers le site supposé dangereux.

Au final on peut se demander s'il n'aurait pas été mieux de bloquer et d'avertir plutôt que de rester au milieu du gué.


Et vous ? :

Trouvez-vous que cette solution de sécurité est satisfaisante ou qu'il faut, au contraire, en faire plus ?


MAJ de Gordon Fowler



26/09/09

Symantec dénonce les risques des URL shorteners, utilisés pour propager des liens malveillants sur des sites comme Twitter


L'entreprise éditrice de logiciels sécuritaires Symantec a sorti aujourd'hui une vidéo à propos des divers dangers liés aux URL raccourcies.

Les URL shorteners sont souvent accusées de faire disparaitre les liens de leurs utilisateurs en cas de cessation d'activité, mais le problème majeur est plutôt qu'ils sont fréquemment utilisés pour masquer des sites malveillants. Certains, comme Bit.ly, ont commencé à avertir leurs utilisateurs sur ces menaces potentielles, tandis que les autres ne semblent pas trouver nécessaire de diffuser cette information.

Dans le clip vidéo de Symantec, le simple fait de cliquer sur un seul et unique de ces liens (si infecté) peut propager plus d'une douzaine de vers ou virus dans la machine de la victime en seulement quelques secondes.

Autre problème majeur : la plupart des internautes cliquent sans méfiance sur les liens postés par leurs amis sur des sites de réseaux sociaux, puisqu'ils les considèrent comme "dignes de confiance" puisqu'émanant à priori de personnes qu'ils connaissent.

Hier, Twitter a été bombardé de tweets utilisant les hastags “beforesex,” “aftersex,” et “duringsex”. Ces tags ont presque immédiatement été repris et utilisés pour propager des liens malicieux. Les pirates savent pertinemment que le sujet brulant du jour sera beaucoup lu et recherché, ils surfent ainsi sur ces vagues...

YouTube- Tweeting Misleading Applications

YouTube- Tweeting Misleading Applications

Mise à jour de Kathleen Erna.



Les URL courtes : Une nouvelle méthode pour les spammeurs

De nombreux utilisateurs ont été certainement ébahis devant la demande de confirmation envoyée par leur moteur de recherche lorsqu’ils ont fait une requête sur ces derniers. La raison en est que depuis un certain temps, les spammeurs ont trouvés une nouvelle méthode pour propager leurs messages publicitaires.

Selon les personnes hautement qualifiées de Symantec, près de 2% des messages publicitaires envoyés depuis ces dernières semaines sont issues de l’utilisation des URL raccourcies par les spammeurs. Ce qui représente tout de même près de 3 milliards de messages par jour, de quoi alarmer les utilisateurs et les sociétés spécialisées dans la sécurité des systèmes informatiques. Cette nouvelle technique des spammeurs vient en effet de connaître une forte croissance et s’avère être très dangereuse pour les utilisateurs. Grâce à l’existence de nombreux sites proposant le raccourcissement des URL pour ne citer que bit.ly ou TinyURL.com, les spammeurs ont trouvé un nouveau vecteur pour propager leurs messages, comme si les messages instantanés et l’envahissement des réseaux communautaires ne les suffisaient plus. Si auparavant cette technique était destinée à certains sites qui ne permettaient que l’affichage d’un nombre de caractères réduites, elle a suscités les intérêts des spammeurs. Ils y ont en effet découvert un moyen d’éviter l’utilisation des captchas et n’étaient plus obligés d’avoir un compte utilisateur. Avec l’exploitation des URL raccourcis les spammeurs ont aussi la faculté de cacher les réelles destinations des liens que les internautes vont découvrir toujours presque malgré eux. Ainsi il est bien difficile de les bloquer et par conséquent les internautes sont de plus en plus exposés aux risques d’être dirigés vers des sites malveillants.

Comment fonctionnent cette nouvelle méthode des spammeurs
Et si le raccourcissement des URL est devenu une arme redoutable entre les mains des spammeurs c’est qu’ils sont arrivés à découvrir une astuce permettant aux botnets de créer directement et automatiquement des liens raccourcis qui ne permettent pas aux utilisateurs d’avoir des doutes sur la sécurité des sites auxquels ils vont accéder. Et bien que les recherches à propos de ces botnets soient toujours en cours, on ne dispose pas encore d’une idée bien précise sur leurs tailles. Par contre les chiffres sont éloquents quant à l’envergure des messages qu’ils peuvent diffuser automatiquement. Parmi les différents botnets qui sont susceptibles d’être utilisés par les spammeurs figure celui qui porte le nom de Donbot. La branche anti-spam de Symantec a en effet accordée une attention particulière à celui-ci et il s’est avéré que sa portée s’est fortement intensifiée depuis quelques semaines. Cette branche de Symantec a en effet découverte depuis quelques mois que cette technique a déjà été utilisée pour un nombre assez réduit de spams et n’était pas encore très alarmant. Comme pour toutes les techniques que les spammeurs ont depuis longtemps utilisées, l’utilisation des URL raccourcis risquerait bien de causer des dégâts énormes d’ici peu. Il s’avère en effet que les sites malveillants se cachaient pour la plupart du temps derrière ces messages publicitaires. Et comme la majorité des internautes ne se doutent presque jamais de ce qu’ils contiennent, le simple fait de cliquer sur le lien qui leur est proposé pourrait engendrer les pires catastrophes sur leurs systèmes informatiques.

[entreprise38]

Une chose que l'on peut espérer de la part des éditeurs de solutions antivirus, et accessoirement des navigateurs Internet / clients de courriels : une solution de prévisualisation des cibles de ces URL courtes, et/ou de protection :
- catalogue des fournisseurs d'URL courtes (pour faire la différence entre adresse classique et adresse 100%-courte-certified ^^)
- prévisu des destinations dans un mode ultra-sécurisé / sandbox
- liste noire d'URL courtes
- et j'en passe...

Bref, si au jour d'aujourd'hui ces adresses courtes peuvent être dangereuses, non seulement il ne faudra sans doute pas attendre longtemps avant de voir émerger des solutions fiables, mais cela risque aussi d'être un n-ième argument pour acheter un antivirus

[yukon_42]

Bonjour,

L'utilisateur reste toujours le maillonf faible :

A quand une formation sur les risques informatiques obligatoires ?

[Chuck_Norris]

Les urls courtes sont une aberration, on ne sait pas où on atterrit. Espérons que ce genre de message fasse passer l'usage de passer par des urls courtes, et qu'à la place les sites essayent de générer des urls qui ne dépassent pas les 80 caractères car les urls de 300 caractères ou plus sont tout autant des aberrations.

[Pierre Louis Chevalier]

Il y à aussi Twitter avec sa limite en nombre de caractères qui rends l'utilisation des URL courtes obligatoire sur cette plateforme de microbloguing, du coup les utilisateurs prennent l'habitude de cliquer sur les URL courtes puisqu'il y à pas d'autres solutions...

A l'arrivée ça créé une grosse brèche de sécurité

[ymoreau]

Citation:

Envoyé par Annaelle32

Si auparavant cette technique était destinée à certains sites qui ne permettaient que l’affichage d’un nombre de caractères réduites, elle a suscités les intérêts des spammeurs. Ils y ont en effet découvert un moyen d’éviter l’utilisation des captchas et n’étaient plus obligés d’avoir un compte utilisateur.

J'ai pas compris, en quoi des "raccourcis" d'URL permettent de se passer d'un compte utilisateur ?

[lvr]

Moi faudra aussi m'expliquer en quoi simplement afficher un site peut être dangereux pour mon système informatique.

[ymoreau]

J'imagine qu'avec un navigateur pas sécurisé à 100% il est possible d'exécuter du code malveillant côté client, ou forcer des téléchargements. Il ne faut pas non plus oublier que la majorité des utilisateurs ne sont pas des informaticiens avertis et que quand une grosse image qui clignote leur dit "vous avez un virus, installez vite cet exécutable pour le supprimer" ils le font les yeux fermés.

[Pierre Louis Chevalier]

Citation:

Envoyé par lvr

Moi faudra aussi m'expliquer en quoi simplement afficher un site peut être dangereux pour mon système informatique.

Si tu as l'URL au complet tu peu ne pas cliquer si l'URL te semble chelou, genre http://arnaque.com/trojan/virus-mortel.exe

Si tu es sur twitter, tous le monde utilise des URL courtes raccourcies à cause de la limite de 140 caractères, genre http://tinyurl.com/20039/ et la si tu clique tu ne sais pas sur quoi tu va tomber, tu peu exécuter un virus ou atterrir sur une page web avec un malware (oui ça existe une simple page web peu infecter ton PC, il y à des failles, voir la rubrique sécurité)

[entreprise38]

Citation:

Envoyé par YoniBlond

J'ai pas compris, en quoi des "raccourcis" d'URL permettent de se passer d'un compte utilisateur ?

Idem

Ca ne neutralise en aucun cas les captchas & co. Idem pour le compte utilisateur.
Sinon il faudrait un minimum expliquer l'article

[Katleen Erna]

Symantec dénonce les risques des URL shorteners, utilisés pour propager des liens malveillants sur des sites comme Twitter

L'entreprise éditrice de logiciels sécuritaires Symantec a sorti aujourd'hui une vidéo à propos des divers dangers liés aux URL raccourcies.

Les URL shorteners sont souvent accusées de faire disparaitre les liens de leurs utilisateurs en cas de cessation d'activité, mais le problème majeur est plutôt qu'ils sont fréquemment utilisés pour masquer des sites malveillants. Certains, comme Bit.ly, ont commencé à avertir leurs utilisateurs sur ces menaces potentielles, tandis que les autres ne semblent pas trouver nécessaire de diffuser cette information.

Dans le clip vidéo de Symantec, le simple fait de cliquer sur un seul et unique de ces liens (si infecté) peut propager plus d'une douzaine de vers ou virus dans la machine de la victime en seulement quelques secondes.

Autre problème majeur : la plupart des internautes cliquent sans méfiance sur les liens postés par leurs amis sur des sites de réseaux sociaux, puisqu'ils les considèrent comme "dignes de confiance" puisqu'émanant à priori de personnes qu'ils connaissent.

Hier, Twitter a été bombardé de tweets utilisant les hastags “beforesex,” “aftersex,” et “duringsex”. Ces tags ont presque immédiatement été repris et utilisés pour propager des liens malicieux. Les pirates savent pertinemment que le sujet brulant du jour sera beaucoup lu et recherché, ils surfent ainsi sur ces vagues...

YouTube- Tweeting Misleading Applications

YouTube- Tweeting Misleading Applications

[Chuck_Norris]

Hé bien ils sont forts chez Symantec pour nous pondre cette vidéo sur laquelle on ne voit rien (bien trop petit)... si ce n'est qu'ils utilisent Internet Explorer 6.0. Bravo pour l'exemple de la sécurité...

Ensuite, si twitter ne limitait pas à 140 caractères stupidement ses tweets, il y aurait moins d'utilisation de ces raccourcisseurs d'url.

[®om]

Je suis d'accord avec eux, mais pas pour les mêmes raisons :

Citation:

Envoyé par ®om

Salut,

Je trouve le princpe des short-urls vraiment mauvais et contre les "bonnes pratiques" du web : http://www.w3.org/Provider/Style/Data.html

Pour au moins 3 raisons :
- les gens ne savent pas quelle est la page qui se cache derrière le lien
- ça dépend d'un service tiers (qui peut être en panne)
- les trackbacks ne fonctionnent pas sur les short-urls
- (je suis sûr qu'il y en a d'autres, comme la sécurité)

Le seul "intérêt", c'est d'avoir une url courte, pour tenir sur des tweets de 140 caractères. Mais dans ce cas-là, c'est aux services de tweet de s'adapter, et de toujours compter une url comme 1 caractère (ou quelques-uns), par exemple en remplaçant http://unserver.fr/une-url-super-lon...aracteres.html par url (ou un caractère qui serait réservé à ça ↷).

Qu'en pensez-vous?

http://forum.ubuntu-fr.org/viewtopic.php?id=346002

[Janitrix]

Citation:

Envoyé par Chuck_Norris

Hé bien ils sont forts chez Symantec pour nous pondre cette vidéo sur laquelle on ne voit rien (bien trop petit)... si ce n'est qu'ils utilisent Internet Explorer 6.0. Bravo pour l'exemple de la sécurité...

Rien d'étonnant pour une vidéo de démonstration, ils utilisent un navigateur vulnérable et qui reste souvent utilisé en entreprise.

[kaymak]

Citation:

Envoyé par Chuck_Norris

Hé bien ils sont forts chez Symantec pour nous pondre cette vidéo sur laquelle on ne voit rien (bien trop petit)... si ce n'est qu'ils utilisent Internet Explorer 6.0. Bravo pour l'exemple de la sécurité...

Ensuite, si twitter ne limitait pas à 140 caractères stupidement ses tweets, il y aurait moins d'utilisation de ces raccourcisseurs d'url.

Peu importe, on savait déjà que ie6 était pas véritablement taillé pour affronter le web de demain. Par contre c'est intéressant cette utilisation très prometteuse des failles de sécurité dans les navigateurs.
Pouvoir comme cela ce positionner sur des mots clefs pour infecter des victimes par milliers en ci peu de temps, avec une forte réactivité, et si peu de moyen à mettre en place... alors si en plus il s'agit d'une faille 0day avec un sujet comme la politique par exemple.
Ce serait le top, sa permettrait j'en suis sur, d'infecter des réseau soit disant privé.

Par contre ce n'est pas du tout furtif et devrait pouvoir être détecté rapidement avec, imaginons, des honey pots actifs qui avalent ces liens pour en comprendre la dangerosité.
Comme on le fait déjà pour étudier la diffusion d'un ver sur la toile.

[Médinoc]

Ça me rappelle, existe-t-il un décodeur de tinyurl.org?
Un truc qui permettrait de savoir vers quoi redirige le lien sans charger l'URL de destination?

Edit: Firefox me conseille ceci, quelqu'un a-t-il un retour dessus?

[®om]

Citation:

Envoyé par Médinoc

Ça me rappelle, existe-t-il un décodeur de tinyurl.org?
Un truc qui permettrait de savoir vers quoi redirige le lien sans charger l'URL de destination?

Un truc comme :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

wget http://tinyurl.com/yb5e5j9 -O- --max-redirect=0 2>&1 | grep ^Emplacement | grep -o 'http://[^ ]\+'

[apokrif]

Citation:

Envoyé par ®om

Je suis d'accord avec eux, mais pas pour les mêmes raisons :
- les gens ne savent pas quelle est la page qui se cache derrière le lien
- ça dépend d'un service tiers (qui peut être en panne)
- les trackbacks ne fonctionnent pas sur les short-urls

Les raccourcisseurs sont utiles pour transmettre des URL longues avec les média qui y insèrent des passages à la ligne, comme les courriels ou les articles Usenet. Même dans ce cas, il est préférable de faire suivre l'URL raccourcie (cliquable) par l'URL complète (qu'on peut toujours recoller à la main si l'adresse raccourcie ne fonctionne pas).

[Gordon Fowler]

Nouvelle protection contre l'utilisation crapuleuse des URL courtes
Mais la solution semble encore très imparfaite


La multiplication des tentatives de phishing, spams et autres pratiques d'attaques malicieuses a connu un nouveau développement avec l'arrivée des URL courtes (lire par ailleurs le premier billet de ce topic).

Pour mémoire, les URL courtes sont des liens plus faciles à poster sur les site sociaux et qui redirigent vers les URL longues des sites visés. Elles sont même devenues indispensables pour des services de micro-blogging comme Twitter qui limite à 140 le nombre de caractères dans un message.

Le problème est que ce type d'outil permet de masquer l'URL cible. Et rend donc les tentatives de phishing ou de détournement vers des sites malicieux beaucoup plus dures à repérer.

Deux sites sont particulièrement visés : Facebook et Twitter. Mais c'est bel et bien Bit.ly, le principal "URL-shortener" qui se retrouve dans l'œil du cyclone.

Conscient que les détournements que son outil permet pouvait représenter l'arrêt de mort de sa société, Andrew Cohen, le Genaral Manager de bit.ly, vient d'annoncer des mesures pour mettre fin à l'utilisation crapuleuse de son service.

Certains diront qu'il était temps.

A présent, les 40 millions de liens postés quotidiennement sur bit.ly seront examinés grâce à un partenariat avec Sophos, Verisign et Websense

Mais la réaction semble encore très mitigée. Trop diront certains.

Un lien potentiellement malicieux ne sera pas bloqué ou effacé. "Si vous cliquez sur une URL et que rien ne se passe vous allez juste penser que bit.ly ne focntionne pas, et vous ne saurez pas nécessairement que nous vous protégeons contre un mauvais site", souligne Cohen.

L'URL courte redirigera donc vers un message d'avertissement. Puis dans un deuxième temps vers le site supposé dangereux.

Au final on peut se demander s'il n'aurait pas été mieux de bloquer et d'avertir plutôt que de rester au milieu du gué.


Et vous ? :

Trouvez-vous que cette solution de sécurité est satisfaisante ou qu'il faut, au contraire, en faire plus ?

[Federico_muy_bien]

Moi je trouve ça suffisant ... mais ces sites ne sont pas bloqués par le navigateurs ??