Une URL courte n'est pas si sûre !

Le par  |  11 commentaire(s)
Hokkaido Japon espionnage trou de serrure

Pratiques, les URLs raccourcies peuvent cependant être compromises par force brute et donner accès à vos données personnelles quand elles sont… trop courtes.

Les raccourcisseurs d'URL, c'est bien pratique mais c'est parfois trop court. Deux chercheurs en sécurité - Martin Georgiev et Vitaly Shmatikov - ont publié les résultats d'une étude de 18 mois selon laquelle les 5, 6 ou 7 caractères ajoutés à des domaines comme 1drv.ms (1drv.ms.xxxxxx) ou goo.gl (goo.gl.xxxxxx) - pour le raccourcissement d'une URL - sont si courts qu'il est possible d'analyser par force brute toutes les URLs générées.

httpÉvidemment, de telles attaques supposent tout de même la puissance de calcul nécessaire, mais après tout, il y a bien quelques botnets qui traînent pour un individu mal intentionné. " Les URLs longues sont effectivement publiques et peuvent être découvertes par quiconque avec un peu de patience et quelques machines à sa disposition ", écrit Vitaly Shmatikov.

Les chercheurs ont constaté que Microsoft avait recours au service Bitly pour générer des URLs raccourcies en utilisant le domaine 1drv.ms. Avec un scan sur 100 millions d'URLs bit.ly et 6 caractères choisis aléatoirement, ils ont pu trouver 42 % des adresses réelles. Pour près de 20 000 d'entre elles, elles menaient à des fichiers ou dossiers OneDrive. La structure de l'URL OneDrive était même prévisible.

Ils ont fait d'autres trouvailles tandis que pour le cas de goo.gl avec Google Maps, les chercheurs ont été à même de trouver 24 millions de liens avec 5 caractères aléatoires, dont 10 % pour des cartes avec des itinéraires, et parfois pour des lieux jugés sensibles. Google a réagi en passant à 11 ou 12 caractères ajoutés à ses adresses raccourcies. Suffisant pour être à l'abri d'une attaque par force brute.

Microsoft avait également été prévenu en amont par les chercheurs. Une correction n'a pas été apportée. Toutefois, l'option de raccourcissement d'URL dans OneDrive a été désactivée le mois denier. A priori, cette désactivation est sans rapport avec les découvertes de Martin Georgiev et Vitaly Shmatikov. La firme de Redmond estime qu'il n'y a pas de vulnérabilité de sécurité.

Complément d'information

Vos commentaires Page 1 / 2

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1891117
C'est aussi un très bon moyen de cacher du contenu malveillant ou publicitaire ou les deux.
Le #1891132
"sont si courts qu'il est possible d'analyser par force brute toutes les URLs générées"
=>Bah oui c'est pas un scoop, évidemment que c'est pas le lieu pour mettre une URL confidentielle....
Le #1891134
Valable aussi pour les URLs en HTTPS ?

Si tel n'est pas le cas, ... sécurité où es-tu ???
Le #1891143
DeepBlueOcean a écrit :

Valable aussi pour les URLs en HTTPS ?

Si tel n'est pas le cas, ... sécurité où es-tu ???


"Valable aussi pour les URLs en HTTPS ?"
=>Ben... oui. Le problème c'est que quand on raccourcit des URLs le plus possible, toutes les combinaisons aboutissent quelque part. Du coup c'est simplement une méga liste d'URL qu'il n'y a qu'à parcourir à la recherche de trucs qui ne devraient pas y être... Tu peux essayer des combinaisons au hasard: elles sont toutes valides (mais pointent parfois vers des trucs périmés)

http://bit.ly/a
http://bit.ly/ad
http://bit.ly/ac
http://bit.ly/ac7
Le #1891145
DeepBlueOcean a écrit :

Valable aussi pour les URLs en HTTPS ?

Si tel n'est pas le cas, ... sécurité où es-tu ???


DTC !!!
Le #1891152
bugmenot a écrit :

DeepBlueOcean a écrit :

Valable aussi pour les URLs en HTTPS ?

Si tel n'est pas le cas, ... sécurité où es-tu ???


"Valable aussi pour les URLs en HTTPS ?"
=>Ben... oui. Le problème c'est que quand on raccourcit des URLs le plus possible, toutes les combinaisons aboutissent quelque part. Du coup c'est simplement une méga liste d'URL qu'il n'y a qu'à parcourir à la recherche de trucs qui ne devraient pas y être... Tu peux essayer des combinaisons au hasard: elles sont toutes valides (mais pointent parfois vers des trucs périmés)

http://bit.ly/a
http://bit.ly/ad
http://bit.ly/ac
http://bit.ly/ac7


Yes, un simple script permet d'aller scanner tout ça
Le #1891178
Franchement c'est quoi cet article ?

Ca n'explique pas le fond du problème : il y a des gens assez bêtes pour faire des raccourcis vers des URL privées (si ce n'était encore que ça), mais surtout pour laisser cet URL privée ouvertes au public.
Le #1891179
Franchement c'est quoi cet article ?

Ca n'explique pas le fond du problème : il y a des gens assez bêtes pour faire des raccourcis vers des URL privées (si ce n'était encore que ça), mais surtout pour laisser cet URL privée ouvertes au public.
Le #1891184
bugmenot a écrit :

"sont si courts qu'il est possible d'analyser par force brute toutes les URLs générées"
=>Bah oui c'est pas un scoop, évidemment que c'est pas le lieu pour mettre une URL confidentielle....


Exactement ce que j'allais dire... Faut être stupide pour raccourcir (et donc amoindrir drastiquement la sécurité) d'une URL contenant un token confidentiel
Le #1891189
Safirion a écrit :

bugmenot a écrit :

"sont si courts qu'il est possible d'analyser par force brute toutes les URLs générées"
=>Bah oui c'est pas un scoop, évidemment que c'est pas le lieu pour mettre une URL confidentielle....


Exactement ce que j'allais dire... Faut être stupide pour raccourcir (et donc amoindrir drastiquement la sécurité) d'une URL contenant un token confidentiel


C'est un peu logique non ?
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]