IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Actualités Discussion :

Les raccourcisseurs d’URL constitueraient une menace de sécurité pour le cloud

  1. #1
    Expert éminent sénior

    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Janvier 2013
    Messages
    320
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Sénégal

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Janvier 2013
    Messages : 320
    Points : 27 370
    Points
    27 370
    Billets dans le blog
    1
    Par défaut Les raccourcisseurs d’URL constitueraient une menace de sécurité pour le cloud
    Les raccourcisseurs d’URL constitueraient une menace de sécurité pour le cloud
    d’après un article publié par deux chercheurs en sécurité

    Deux chercheurs en sécurité ont publié les résultats de leurs recherches indiquant que l’utilisation des services de réductions d’URL constituerait une menace de sécurité sur le cloud, en ce sens qu’elle poserait des problèmes de confidentialité. Lorsqu’ils sont utilisés pour partager des données protégées par des informations d’identification incluses dans l’URL, ces services peuvent permettre à des attaquants d’accéder aux données en effectuant simplement des recherches dans l’espace d’adressage, du fait que ces adresses sont très courtes et prévisibles.

    L’équipe de chercheurs, composée de Vitaly Shmatikov travaillant chez Cornell Tech et d’un chercheur indépendant nommé Martin Georgiev, a mené une étude de dix-huit mois. Les deux hommes se sont penchés sur deux plateformes utilisant des services de raccourcissement d’URL, OneDrive et Google Maps. Shmatikov déclare dans leur article qu’ ils n’ont « pas effectué une analyse de toutes les URL courtes », mais qu’ils en ont étudié assez pour découvrir des informations significatives et pouvoir en tirer d’importantes conclusions. Pour rechercher des fichiers partagés à travers le cloud, les deux chercheurs ont effectué une analyse d’un échantillon de 100 millions d’URL raccourcies du domaine bit .ly, en générant de manière aléatoire des liens courts de six caractères, utilisant 189 différentes machines pour accéder à l’API du service de recherche du domaine bit. ly et en générant des liens courts de sept caractères obtenus en ajoutant le caractère « 1 » au début des liens de six caractères.

    Ce travail de recherche a permis de révéler que les contenus des adresses du domaine byt .ly sont exposés à des problèmes de confidentialité, d’après les chercheurs. Shmatikov affirme que 42 % des URL considérées composées de six caractères correspondent à des URL réelles et que ces dernières sont liées à des fichiers et des répertoires stockés sur OneDrive ou SkyDrive. Quant aux URL composées de sept caractères, 29 % d’entre elles ont pu être déterminés par les deux chercheurs comme correspondant à des liens valides de OneDrive et SkyDrive. L’équipe de chercheurs note dans l’article qu’il serait possible de déterminer avec succès beaucoup plus d’adresses en ajustant la recherche sur un bloc spécifique d’adresses, car les URL de bit .ly ne seraient pas toutes générées de manière aléatoire. Les chercheurs ont également découvert en effectuant des recherches sur les URL raccourcies utilisées sur Google Maps que sur un échantillon de plus de 23 millions d’URL courtes, dix pour cent ont servi pour enregistrer les directions d’un endroit à l’autre ainsi que les adresses des endroits en question. Ces informations ont ensuite pu être associées à des comptes Google spécifiques, ce qui représente une faille de sécurité potentielle, car les chercheurs sont en mesure de déterminer à partir de là, la personne associée à indication de direction en se basant sur les adresses.

    Les deux chercheurs auraient réussi à accéder en tout à plus de 1,3 million de fichiers sur le cloud OneDrive en analysant les URL complètes correspondantes aux URL courtes de la plateforme de Microsoft. D’après eux, au moins 7 % des URL courtes de OneDrive sont liées à des fichiers et dossiers partagés avec des droits d’accès en écriture. Ils ajoutent que des centaines de comptes Google Drive sont dans le même cas de figure. En effet, poursuivent les chercheurs, tout comme pour OneDrive, celui qui découvre le lien réel qui est caché derrière une URL courte correspondant à un dossier Google Drive peut y télécharger du contenu nuisible qui sera automatiquement synchronisé sur les appareils de l’utilisateur concerné. Cela peut notamment être utilisé par un attaquant pour propager des virus sur les appareils des utilisateurs de ces plateformes. Se basant sur la taille des URL courtes proposées par le domaine bit. ly, les deux chercheurs estiment qu’il serait possible pour un attaquant de rechercher l’ensemble des liens correspondant aux URL courtes de bit. ly en un seul jour.

    Source : arxiv.org

    Et vous ?

    Qu'en pensez-vous ?

    Voir aussi

    la rubrique Actualités

  2. #2
    Membre régulier Avatar de Wirbelwind
    Homme Profil pro
    Développeur Web
    Inscrit en
    Janvier 2012
    Messages
    47
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Bas Rhin (Alsace)

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Janvier 2012
    Messages : 47
    Points : 109
    Points
    109
    Par défaut url
    Qui est assez bête pour identifier via l'URL, sérieux? Même sans raccourciseur, ça constitue déjà une faille béante!

  3. #3
    Membre éclairé
    Homme Profil pro
    nop
    Inscrit en
    Mars 2015
    Messages
    436
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Somme (Picardie)

    Informations professionnelles :
    Activité : nop
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Mars 2015
    Messages : 436
    Points : 658
    Points
    658
    Par défaut
    euh....

    c'est moi où cela sonne comme une plaisanterie.

    Faut être quand-même pas "malin" pour créer une shorturl d'un lien sensible ?
    qui irait créer une sURL d'un lien url d'autoconnexion ou vers un document perso ou vers une page d'intranet secret ?

    ou alors 99% des gens ne savent pas que les urlshorts sont toujours stockés qqpart et non pas auto-décryptables.

    ça me rappelle une vielle histoire, un vieil article où quand windows 95 a commencé à populariser le concept de raccourci (les fameux .ink), bcp de gens criaient "windows divulguent vos documents secrets" car les utilisateurs créaient des raccourcis sur le bureau des dossiers trop compliqués à retrouver (genre 10 sous répertoires...)

    et il y a 15ans, les chercheurs criaient aussi au scandale quand les gens stockaient leurs données sensibles sur des post-it.

    Ah ces chercheurs......qu'est-ce qu'on ne ferait pas sans eux. Bientôt ils crieront au scandale car des gens utilisent des armes pour tirer sur des gentils.

  4. #4
    Membre éclairé
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Février 2008
    Messages
    163
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 59
    Localisation : France, Calvados (Basse Normandie)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : Février 2008
    Messages : 163
    Points : 712
    Points
    712
    Par défaut Rien a changé ! (tout, tout a continué)
    "ça me rappelle une vielle histoire, un vieil article où quand windows 95 a commencé à populariser le concept de raccourci "
    Je suis intervenu chez un client il y a un an, qui est abonné au cloud microsoft, hé bien rien a changé.
    On m'a demandé de ne pas créer de noms de répertoires trop longs parce que le fameux cloud ne fourni pas d'url particulière pour un document, le document est identifié par son arborescence + son nom, donc si l'url dépasse la longueur autorisée dans le navigateur ... on rêve !

  5. #5
    Membre chevronné
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Avril 2009
    Messages
    1 048
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 41
    Localisation : Suisse

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : Finance

    Informations forums :
    Inscription : Avril 2009
    Messages : 1 048
    Points : 2 201
    Points
    2 201
    Par défaut
    Le plus gros problème est plutôt la présence de dossier en lecture/écriture pour "tous le monde" dans un compte cloud.

    En lecture, je peux encore comprendre pour le partage de ressource "document" qui sont publié publiquement (genre pour son blog), mais en écriture ça fait rêver...

    Les raccourcisseurs d'URL n'offre, à mon avis, que la possibilité d'aller faire de la "pêche aux gros" et d'avoir accès à des ressources cloud aléatoire plus facilement. Donc à part dans le cadre d'attaque non ciblée c'est pas réellement utilisable.

    Mais c'est un peu comme dire qu'un parking représente une menace de sécurité pour le vol de voiture, parce qu'il y a une grand concentration de véhicule à un endroit et que ça augmente les chances d'avoir accès à un véhicule non verouillé... Ou dire qu'une benne à papier usager représente un risque parce qu'en fouillant on va trouver un document papier (encore la benne à papier, ça permet de cibler une entité au moins).

  6. #6
    Membre éprouvé
    Profil pro
    Inscrit en
    Décembre 2004
    Messages
    586
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Décembre 2004
    Messages : 586
    Points : 1 147
    Points
    1 147
    Par défaut
    Citation Envoyé par Wirbelwind Voir le message
    Qui est assez bête pour identifier via l'URL, sérieux? Même sans raccourciseur, ça constitue déjà une faille béante!
    Bah, je ne sais pas moi... Disons 95% du grand public ? Mais soyons sérieux : pas plus de 75% des informaticiens. Non ?
    L'avis publié ci-dessus est mien et ne reflète pas obligatoirement celui de mon entreprise.

  7. #7
    Membre extrêmement actif
    Avatar de benjani13
    Homme Profil pro
    Consultant en sécurité
    Inscrit en
    Février 2010
    Messages
    615
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Ain (Rhône Alpes)

    Informations professionnelles :
    Activité : Consultant en sécurité

    Informations forums :
    Inscription : Février 2010
    Messages : 615
    Points : 2 824
    Points
    2 824
    Par défaut
    L'article est mal tourné. Je pense comme mes voisins du dessus que la conclusion est ridicule, le simple fait d'utiliser un service de short url pour un lien sensible est une mauvaise pratique, et je ne parle même pas des espaces de stockages en accès publique.

    La vrai découverte de ces recherches est le fait que les short url sont prévisibles et que donc on peut crawler des millions de liens très facilement. Et parmis ces liens ont trouvera surement (et malheureusement) des données sensibles.

    PS: La traduction aussi est incorrect ou mal écrite:

    Shmatikov affirme que 42 % des URL considérées composées de six caractères correspondent à des URL réelles et que ces dernières sont liées à des fichiers et des répertoires stockés sur OneDrive ou SkyDrive.
    Ça laisse penser que 42% des urls de 6 carractères étaient des lien One ou SkyDrive, or:
    Of the 42,229,055 URLs we discovered from the 6-character token space of bit .ly , 3,003 URLs (0.003% of the sample space) reference files or folders under the onedrive.live.com domain. Additionally, 16,521 URLs (0.016% of the sample space) reference files or folders under the skydrive.live.com domain.

  8. #8
    Membre expérimenté
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Avril 2003
    Messages
    1 303
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Seine Saint Denis (Île de France)

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : Service public

    Informations forums :
    Inscription : Avril 2003
    Messages : 1 303
    Points : 1 380
    Points
    1 380
    Par défaut
    La solution pour rendre les adresses courtes sécurisées est donc de les allonger...
    Christophe

    Pensez à mettre quand c'est le cas.

  9. #9
    Membre éprouvé
    Avatar de Gecko
    Homme Profil pro
    Développeur décisionnel
    Inscrit en
    Décembre 2008
    Messages
    499
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 39
    Localisation : France, Nord (Nord Pas de Calais)

    Informations professionnelles :
    Activité : Développeur décisionnel

    Informations forums :
    Inscription : Décembre 2008
    Messages : 499
    Points : 1 277
    Points
    1 277
    Par défaut
    Donc le réel problème viens des services qui raccourcissent les URL puisqu'ils ne vérifient rien avant de fournir le raccourcis.
    Code php : Sélectionner tout - Visualiser dans une fenêtre à part
    if ($toBe || !$toBe) echo 'That is the question';

    Mes projets: DVP I/O

  10. #10
    Membre émérite

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    Avril 2006
    Messages
    666
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 84
    Localisation : France

    Informations professionnelles :
    Activité : Administrateur de base de données
    Secteur : Service public

    Informations forums :
    Inscription : Avril 2006
    Messages : 666
    Points : 2 817
    Points
    2 817
    Billets dans le blog
    1
    Par défaut
    De toute façon les liens raccourcis SONT des failles de sécurité en elle-même, parce qu'on ne peut pas savoir, sans cliquer, vers quoi pointe réellement l'url. D'où danger de tomber sur une page suspecte sur un site suspect pour du phishing ou pour délivrer un petit virus tout chaud dans ton ordinateur via une faille de sécurité.

  11. #11
    Membre éclairé
    Homme Profil pro
    nop
    Inscrit en
    Mars 2015
    Messages
    436
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Somme (Picardie)

    Informations professionnelles :
    Activité : nop
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Mars 2015
    Messages : 436
    Points : 658
    Points
    658
    Par défaut
    Citation Envoyé par Chuck_Norris Voir le message
    De toute façon les liens raccourcis SONT des failles de sécurité en elle-même, parce qu'on ne peut pas savoir, sans cliquer, vers quoi pointe réellement l'url. D'où danger de tomber sur une page suspecte sur un site suspect pour du phishing ou pour délivrer un petit virus tout chaud dans ton ordinateur via une faille de sécurité.
    j'ai plutôt confiance envers celles de google (qui vérifie au moins si c'est un humain-captacha) et peut-être ensuite la page ciblée (antivirus ou danger).
    Par contre les autres, je m'en méfie comme la pèste.

    En fait bcp de gens (faîtes le test autour de chez vous) pensent que c'est juste une compression/crytage d'une url longue mais très très très peu de gens savent que ces urls :
    - sont exploitées commercialement
    - remplissent des stats à gogos
    - prennent des infos de vie privées ou des infos techniques ou de géolocalisation
    et surtout :
    - elles sont stockées et dataminées !!!!!!

    Je mettrais une main à couper que derriere il y a un admin qui est chargé de grouper/filtrer/ et regarder les plus populaires et de classer celles qui redirigent vers des serveurs/fichiers sans protection qui permettent de s'authentifier par une url avec un pion/hash key.
    Là est le plus grand danger.

    Je n'ai jamais essayé mas je me demande si on peut faire une short url vers un .EXE ou un .com ou pire vers une autre short url d'un autre service et faire une boucle infinie (histoire de faire monter les stats et affichages de pub pour tromper un compteur commercial de Nb hits ...;-)

  12. #12
    Membre à l'essai
    Homme Profil pro
    Étudiant
    Inscrit en
    Décembre 2013
    Messages
    8
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Étudiant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Décembre 2013
    Messages : 8
    Points : 14
    Points
    14
    Par défaut Développeur ou Codeur
    Qui sont ces devs!?... qui osent ajouter des informations d'identification aux URLs?

  13. #13
    Membre éclairé
    Homme Profil pro
    nop
    Inscrit en
    Mars 2015
    Messages
    436
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Somme (Picardie)

    Informations professionnelles :
    Activité : nop
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Mars 2015
    Messages : 436
    Points : 658
    Points
    658
    Par défaut
    Citation Envoyé par Salathiel Genese Voir le message
    Qui sont ces devs!?... qui osent ajouter des informations d'identification aux URLs?
    c'est une pratique connue, même google fait ça pour s'autoconnecter à une compte email.
    Rien que le lien d'activation pour un forum est un exemple. il n'y a rien à critiquer, c'est normal et non pas une faute de développement. Au pire ce lien devrait avoir une durée limitée ou un nombre d'utilisations limitées mais bon... bref ce qui est anormal, c'est de garder cette url dans une shorturl !

  14. #14
    Nouveau Candidat au Club
    Femme Profil pro
    lol
    Inscrit en
    Mai 2014
    Messages
    1
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Âge : 47
    Localisation : France

    Informations professionnelles :
    Activité : lol

    Informations forums :
    Inscription : Mai 2014
    Messages : 1
    Points : 1
    Points
    1
    Par défaut goo.gl hash and fun
    Moi j'ai codé un outils simple après 3 requètse sur leurs application en guise d'investigation...

    https://github.com/HackIT/BingoLottery

    moi j'ai fait un script qui permet de se faire une idée par soi même

  15. #15
    Membre confirmé Avatar de T`lash
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Septembre 2007
    Messages
    381
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 38
    Localisation : Saint-Pierre-Et-Miq.

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : Biens de consommation

    Informations forums :
    Inscription : Septembre 2007
    Messages : 381
    Points : 519
    Points
    519
    Par défaut
    Citation Envoyé par MichaelREMY Voir le message
    euh....

    [...]

    ça me rappelle une vielle histoire, un vieil article où quand windows 95 a commencé à populariser le concept de raccourci (les fameux .ink), [...]
    Euh...

    C'est moi où tu n'avais pas compris qu'il s'agissait d'un "L" minuscule et non d'un "I" ?

    .LNK comme "link", soit "lien" en anglais.

  16. #16
    Membre du Club
    Homme Profil pro
    Consultant informatique
    Inscrit en
    Avril 2016
    Messages
    43
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 36
    Localisation : Canada

    Informations professionnelles :
    Activité : Consultant informatique
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Avril 2016
    Messages : 43
    Points : 67
    Points
    67
    Par défaut
    Citation Envoyé par dlafile Voir le message
    Moi j'ai codé un outils simple après 3 requètse sur leurs application en guise d'investigation...

    https://github.com/HackIT/BingoLottery

    moi j'ai fait un script qui permet de se faire une idée par soi même
    Quelques simples requêtes sur un compte de test sur le cloud ne peut pas te permettre de te faire une idée exacte du vrai danger des services de raccourcisseurs d'URL.

  17. #17
    Nouveau Candidat au Club
    Homme Profil pro
    Développeur Web
    Inscrit en
    Septembre 2016
    Messages
    4
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 29
    Localisation : France, Val de Marne (Île de France)

    Informations professionnelles :
    Activité : Développeur Web

    Informations forums :
    Inscription : Septembre 2016
    Messages : 4
    Points : 1
    Points
    1
    Par défaut Les raccoucisseur c'est bien quand c'est bien utilisé
    Pour ceux qui en utilisent souvent je vous conseille ce genre de raccourcisseur d’url http://1nk.eu qui en plus de faire raccourcisseur paye les membres aux nombres de vues du lien, ça peut facilement faire des sommes sympa.

Discussions similaires

  1. Le BYOD constitue-t-il une menace pour les réseaux d’entreprise ?
    Par Victor Vincent dans le forum Sécurité
    Réponses: 5
    Dernier message: 01/12/2015, 16h49
  2. Réponses: 0
    Dernier message: 03/04/2013, 12h24
  3. Débat : Les stages sont ils une bonne chose pour les jeunes
    Par pmithrandir dans le forum Politique
    Réponses: 23
    Dernier message: 27/05/2011, 01h32
  4. Réponses: 2
    Dernier message: 27/01/2009, 22h45
  5. Une petite aide pour les API ?
    Par Yop dans le forum Windows
    Réponses: 2
    Dernier message: 04/04/2002, 21h45

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo