Discussion :

[Victor Vincent]

Les raccourcisseurs d’URL constitueraient une menace de sécurité pour le cloud
d’après un article publié par deux chercheurs en sécurité

Deux chercheurs en sécurité ont publié les résultats de leurs recherches indiquant que l’utilisation des services de réductions d’URL constituerait une menace de sécurité sur le cloud, en ce sens qu’elle poserait des problèmes de confidentialité. Lorsqu’ils sont utilisés pour partager des données protégées par des informations d’identification incluses dans l’URL, ces services peuvent permettre à des attaquants d’accéder aux données en effectuant simplement des recherches dans l’espace d’adressage, du fait que ces adresses sont très courtes et prévisibles.

L’équipe de chercheurs, composée de Vitaly Shmatikov travaillant chez Cornell Tech et d’un chercheur indépendant nommé Martin Georgiev, a mené une étude de dix-huit mois. Les deux hommes se sont penchés sur deux plateformes utilisant des services de raccourcissement d’URL, OneDrive et Google Maps. Shmatikov déclare dans leur article qu’ ils n’ont « pas effectué une analyse de toutes les URL courtes », mais qu’ils en ont étudié assez pour découvrir des informations significatives et pouvoir en tirer d’importantes conclusions. Pour rechercher des fichiers partagés à travers le cloud, les deux chercheurs ont effectué une analyse d’un échantillon de 100 millions d’URL raccourcies du domaine bit .ly, en générant de manière aléatoire des liens courts de six caractères, utilisant 189 différentes machines pour accéder à l’API du service de recherche du domaine bit. ly et en générant des liens courts de sept caractères obtenus en ajoutant le caractère « 1 » au début des liens de six caractères.

Ce travail de recherche a permis de révéler que les contenus des adresses du domaine byt .ly sont exposés à des problèmes de confidentialité, d’après les chercheurs. Shmatikov affirme que 42 % des URL considérées composées de six caractères correspondent à des URL réelles et que ces dernières sont liées à des fichiers et des répertoires stockés sur OneDrive ou SkyDrive. Quant aux URL composées de sept caractères, 29 % d’entre elles ont pu être déterminés par les deux chercheurs comme correspondant à des liens valides de OneDrive et SkyDrive. L’équipe de chercheurs note dans l’article qu’il serait possible de déterminer avec succès beaucoup plus d’adresses en ajustant la recherche sur un bloc spécifique d’adresses, car les URL de bit .ly ne seraient pas toutes générées de manière aléatoire. Les chercheurs ont également découvert en effectuant des recherches sur les URL raccourcies utilisées sur Google Maps que sur un échantillon de plus de 23 millions d’URL courtes, dix pour cent ont servi pour enregistrer les directions d’un endroit à l’autre ainsi que les adresses des endroits en question. Ces informations ont ensuite pu être associées à des comptes Google spécifiques, ce qui représente une faille de sécurité potentielle, car les chercheurs sont en mesure de déterminer à partir de là, la personne associée à indication de direction en se basant sur les adresses.

Les deux chercheurs auraient réussi à accéder en tout à plus de 1,3 million de fichiers sur le cloud OneDrive en analysant les URL complètes correspondantes aux URL courtes de la plateforme de Microsoft. D’après eux, au moins 7 % des URL courtes de OneDrive sont liées à des fichiers et dossiers partagés avec des droits d’accès en écriture. Ils ajoutent que des centaines de comptes Google Drive sont dans le même cas de figure. En effet, poursuivent les chercheurs, tout comme pour OneDrive, celui qui découvre le lien réel qui est caché derrière une URL courte correspondant à un dossier Google Drive peut y télécharger du contenu nuisible qui sera automatiquement synchronisé sur les appareils de l’utilisateur concerné. Cela peut notamment être utilisé par un attaquant pour propager des virus sur les appareils des utilisateurs de ces plateformes. Se basant sur la taille des URL courtes proposées par le domaine bit. ly, les deux chercheurs estiment qu’il serait possible pour un attaquant de rechercher l’ensemble des liens correspondant aux URL courtes de bit. ly en un seul jour.

Source : arxiv.org

Et vous ?

Qu'en pensez-vous ?

Voir aussi

la rubrique Actualités

[Wirbelwind]

Qui est assez bête pour identifier via l'URL, sérieux? Même sans raccourciseur, ça constitue déjà une faille béante!

[MichaelREMY]

euh....

c'est moi où cela sonne comme une plaisanterie.

Faut être quand-même pas "malin" pour créer une shorturl d'un lien sensible ?
qui irait créer une sURL d'un lien url d'autoconnexion ou vers un document perso ou vers une page d'intranet secret ?

ou alors 99% des gens ne savent pas que les urlshorts sont toujours stockés qqpart et non pas auto-décryptables.

ça me rappelle une vielle histoire, un vieil article où quand windows 95 a commencé à populariser le concept de raccourci (les fameux .ink), bcp de gens criaient "windows divulguent vos documents secrets" car les utilisateurs créaient des raccourcis sur le bureau des dossiers trop compliqués à retrouver (genre 10 sous répertoires...)

et il y a 15ans, les chercheurs criaient aussi au scandale quand les gens stockaient leurs données sensibles sur des post-it.

Ah ces chercheurs......qu'est-ce qu'on ne ferait pas sans eux. Bientôt ils crieront au scandale car des gens utilisent des armes pour tirer sur des gentils.

[i5evangelist]

"ça me rappelle une vielle histoire, un vieil article où quand windows 95 a commencé à populariser le concept de raccourci "

Je suis intervenu chez un client il y a un an, qui est abonné au cloud microsoft, hé bien rien a changé.
On m'a demandé de ne pas créer de noms de répertoires trop longs parce que le fameux cloud ne fourni pas d'url particulière pour un document, le document est identifié par son arborescence + son nom, donc si l'url dépasse la longueur autorisée dans le navigateur ... on rêve !

[sinople]

Le plus gros problème est plutôt la présence de dossier en lecture/écriture pour "tous le monde" dans un compte cloud.

En lecture, je peux encore comprendre pour le partage de ressource "document" qui sont publié publiquement (genre pour son blog), mais en écriture ça fait rêver...

Les raccourcisseurs d'URL n'offre, à mon avis, que la possibilité d'aller faire de la "pêche aux gros" et d'avoir accès à des ressources cloud aléatoire plus facilement. Donc à part dans le cadre d'attaque non ciblée c'est pas réellement utilisable.

Mais c'est un peu comme dire qu'un parking représente une menace de sécurité pour le vol de voiture, parce qu'il y a une grand concentration de véhicule à un endroit et que ça augmente les chances d'avoir accès à un véhicule non verouillé... Ou dire qu'une benne à papier usager représente un risque parce qu'en fouillant on va trouver un document papier (encore la benne à papier, ça permet de cibler une entité au moins).

[Thorna]

Qui est assez bête pour identifier via l'URL, sérieux? Même sans raccourciseur, ça constitue déjà une faille béante!

Bah, je ne sais pas moi... Disons 95% du grand public ? Mais soyons sérieux : pas plus de 75% des informaticiens. Non ?

[benjani13]

L'article est mal tourné. Je pense comme mes voisins du dessus que la conclusion est ridicule, le simple fait d'utiliser un service de short url pour un lien sensible est une mauvaise pratique, et je ne parle même pas des espaces de stockages en accès publique.

La vrai découverte de ces recherches est le fait que les short url sont prévisibles et que donc on peut crawler des millions de liens très facilement. Et parmis ces liens ont trouvera surement (et malheureusement) des données sensibles.

PS: La traduction aussi est incorrect ou mal écrite:

Shmatikov affirme que 42 % des URL considérées composées de six caractères correspondent à des URL réelles et que ces dernières sont liées à des fichiers et des répertoires stockés sur OneDrive ou SkyDrive.

Ça laisse penser que 42% des urls de 6 carractères étaient des lien One ou SkyDrive, or:

Of the 42,229,055 URLs we discovered from the 6-character token space of bit .ly , 3,003 URLs (0.003% of the sample space) reference files or folders under the onedrive.live.com domain. Additionally, 16,521 URLs (0.016% of the sample space) reference files or folders under the skydrive.live.com domain.

[Christophe P.]

La solution pour rendre les adresses courtes sécurisées est donc de les allonger...

[Gecko]

Donc le réel problème viens des services qui raccourcissent les URL puisqu'ils ne vérifient rien avant de fournir le raccourcis.

[Chuck_Norris]

De toute façon les liens raccourcis SONT des failles de sécurité en elle-même, parce qu'on ne peut pas savoir, sans cliquer, vers quoi pointe réellement l'url. D'où danger de tomber sur une page suspecte sur un site suspect pour du phishing ou pour délivrer un petit virus tout chaud dans ton ordinateur via une faille de sécurité.

[MichaelREMY]

De toute façon les liens raccourcis SONT des failles de sécurité en elle-même, parce qu'on ne peut pas savoir, sans cliquer, vers quoi pointe réellement l'url. D'où danger de tomber sur une page suspecte sur un site suspect pour du phishing ou pour délivrer un petit virus tout chaud dans ton ordinateur via une faille de sécurité.

j'ai plutôt confiance envers celles de google (qui vérifie au moins si c'est un humain-captacha) et peut-être ensuite la page ciblée (antivirus ou danger).
Par contre les autres, je m'en méfie comme la pèste.

En fait bcp de gens (faîtes le test autour de chez vous) pensent que c'est juste une compression/crytage d'une url longue mais très très très peu de gens savent que ces urls :
- sont exploitées commercialement
- remplissent des stats à gogos
- prennent des infos de vie privées ou des infos techniques ou de géolocalisation
et surtout :
- elles sont stockées et dataminées !!!!!!

Je mettrais une main à couper que derriere il y a un admin qui est chargé de grouper/filtrer/ et regarder les plus populaires et de classer celles qui redirigent vers des serveurs/fichiers sans protection qui permettent de s'authentifier par une url avec un pion/hash key.
Là est le plus grand danger.

Je n'ai jamais essayé mas je me demande si on peut faire une short url vers un .EXE ou un .com ou pire vers une autre short url d'un autre service et faire une boucle infinie (histoire de faire monter les stats et affichages de pub pour tromper un compteur commercial de Nb hits ...;-)

[Salathiel Genese]

Qui sont ces devs!?... qui osent ajouter des informations d'identification aux URLs?

[MichaelREMY]

Qui sont ces devs!?... qui osent ajouter des informations d'identification aux URLs?

c'est une pratique connue, même google fait ça pour s'autoconnecter à une compte email.
Rien que le lien d'activation pour un forum est un exemple. il n'y a rien à critiquer, c'est normal et non pas une faute de développement. Au pire ce lien devrait avoir une durée limitée ou un nombre d'utilisations limitées mais bon... bref ce qui est anormal, c'est de garder cette url dans une shorturl !

[dlafile]

Moi j'ai codé un outils simple après 3 requètse sur leurs application en guise d'investigation...

https://github.com/HackIT/BingoLottery

moi j'ai fait un script qui permet de se faire une idée par soi même

[T`lash]

euh....

[...]

ça me rappelle une vielle histoire, un vieil article où quand windows 95 a commencé à populariser le concept de raccourci (les fameux .ink), [...]

Euh...

C'est moi où tu n'avais pas compris qu'il s'agissait d'un "L" minuscule et non d'un "I" ?

.LNK comme "link", soit "lien" en anglais.

[kabaman]

Moi j'ai codé un outils simple après 3 requètse sur leurs application en guise d'investigation...

https://github.com/HackIT/BingoLottery

moi j'ai fait un script qui permet de se faire une idée par soi même

Quelques simples requêtes sur un compte de test sur le cloud ne peut pas te permettre de te faire une idée exacte du vrai danger des services de raccourcisseurs d'URL.

[yromm]

Pour ceux qui en utilisent souvent je vous conseille ce genre de raccourcisseur d’url http://1nk.eu qui en plus de faire raccourcisseur paye les membres aux nombres de vues du lien, ça peut facilement faire des sommes sympa.