Mise à jour 29/03/2018. Une lectrice nous fait par d’un outil de vérification d’URLs réduites: https://www.websiteplanet.com/fr/webtools/redirected/
Services de réduction d’URL
De nombreux services comme Google Maps ou auparavant OneDrive offrent la possibilité d’obtenir une URL raccourcie, à l’aide de services de réduction d’URL comme bit.ly, 1drv.ms, goo.gl. L’URL est transformée en un nom de domaine suivi de 5,6 ou 7 caractères, comme bit.ly/a9ffze. Ce qui est pratique pour partager un itinéraire ou des fichiers avec des collègues ou des amis quand l’URL d’origine est longue et compliquée.
Des chercheurs de Cornell ont démontré que ce type de réduction n’est pas neutre pour l’utilisateur: en réduisant le code identifiant de l’URL, on ouvre la porte aux pirates ou aux curieux.
Un jeu de 36 caractères alphanumériques, et une clé de longueur 5 ne permettent de créer que 36^5 arrangements avec répétitions, soit moins de 61 millions de possibilités. Avec si peu d’arrangements possibles, on peut utiliser une attaque de force brute, en exploitant plusieurs ordinateurs simultanément, pour tester systématiquement tous les adresses possibles.
Ce qu’a confirmé l’équipe d’universitaires, dirigée par le professeur Vitaly Shmatikov, qui a effectué une telle recherche sur 18 mois.
OneDrive
Sur 71 millions d’URL raccourcies générées au hasard, les chercheurs ont trouvé 24 000 liens en état de marche vers des fichiers et des répertoires sur OneDrive.
Pire, la structure des URL de OneDrive suit une logique prédictible. Une fois trouvé un raccourci qui pointe vers un fichier sur OneDrive, on peut, dans bien des cas, deviner l’URL qui permettra d’accéder à une partie, ou toute l’arborescence des fichiers d’un utilisateur du service de stockage.
Les chercheurs estiment que 7 % des répertoires trouvés permettent d’écrire des fichiers. On peut imaginer un pirate sauvegardant un virus, qui sera souvent automatiquement répliqué sur l’ordinateur de l’utilisateur…
Google Maps
Sur 23 millions d’URL raccourcies au hasard pour Google Maps, ils ont découvert que 10 % des liens référençaient un itinéraire demandé par quelqu’un.
Les itinéraires sur Google Maps peuvent aussi mettre à mal la vie privée, car ils incluent la plupart du temps une adresse de départ : il est donc souvent aisé de découvrir qui voulait aller où.
Les chercheurs ont ainsi découvert 16 000 itinéraires vers des objectifs sensibles, comme des cliniques, des asiles, des cliniques d’avortement, des clubs pour ‘gentlemen’.
Les adresses permettent d’établir des profils précis, de reconstituer des cercles sociaux en cherchant qui a visité qui, voire de découvrir l’identité des personnes : d’après une étude publiée dans Nature en 2013, il suffit de connaître 4 références géographiques de passage pour identifier 95 % des gens.
Mitigations et recommandations
Les chercheurs ont fait part de leur découverte à Google et à Microsoft.
Depuis, Google a rallongé la clé de l’URL raccourcie à 11 ou 12 caractères, et pris des mesures additionnelles contre les attaques brutes.
En mars 2016, Microsoft a abandonné complètement l’utilisation d’URLs réduites pour son service de stockage OneDrive, et pris des mesures pour empêcher les recherches transversales.
En revanche, les raccourcis créés précédemment sont toujours accessibles. Il est donc recommandé d’effacer ou de déplacer les fichiers correspondants, s’ils n’étaient pas destinés à un large public.
Microsoft et Google sont loin d’être les seules entreprises à proposer des services d’URL raccourcies, il est donc certains que d’autres cas de figure non étudiés par les chercheurs de Cornell posent des risques pour leurs utilisateurs.
Les universitaires offrent donc plusieurs recommandations aux fournisseurs de services dans le nuage : informer l’utilisateur du service de réduction d’URL qu’il risque d’exposer le contenu vers lequel pointe l’URL raccourcie à des tierces parties ; détecter et limiter les balayages, utiliser un système pour reconnaître si l’utilisateur est humain.
L’article de recherche complet est disponible au format PDF ici.