Les raccourcisseurs d'URL, c'est bien pratique mais c'est parfois trop court. Deux chercheurs en sécurité - Martin Georgiev et Vitaly Shmatikov - ont publié les résultats d'une étude de 18 mois selon laquelle les 5, 6 ou 7 caractères ajoutés à des domaines comme 1drv.ms (1drv.ms.xxxxxx) ou goo.gl (goo.gl.xxxxxx) - pour le raccourcissement d'une URL - sont si courts qu'il est possible d'analyser par force brute toutes les URLs générées.
Évidemment, de telles attaques supposent tout de même la puissance de calcul nécessaire, mais après tout, il y a bien quelques botnets qui traînent pour un individu mal intentionné. " Les URLs longues sont effectivement publiques et peuvent être découvertes par quiconque avec un peu de patience et quelques machines à sa disposition ", écrit Vitaly Shmatikov.
Les chercheurs ont constaté que Microsoft avait recours au service Bitly pour générer des URLs raccourcies en utilisant le domaine 1drv.ms. Avec un scan sur 100 millions d'URLs bit.ly et 6 caractères choisis aléatoirement, ils ont pu trouver 42 % des adresses réelles. Pour près de 20 000 d'entre elles, elles menaient à des fichiers ou dossiers OneDrive. La structure de l'URL OneDrive était même prévisible.
Ils ont fait d'autres trouvailles tandis que pour le cas de goo.gl avec Google Maps, les chercheurs ont été à même de trouver 24 millions de liens avec 5 caractères aléatoires, dont 10 % pour des cartes avec des itinéraires, et parfois pour des lieux jugés sensibles. Google a réagi en passant à 11 ou 12 caractères ajoutés à ses adresses raccourcies. Suffisant pour être à l'abri d'une attaque par force brute.
Microsoft avait également été prévenu en amont par les chercheurs. Une correction n'a pas été apportée. Toutefois, l'option de raccourcissement d'URL dans OneDrive a été désactivée le mois denier. A priori, cette désactivation est sans rapport avec les découvertes de Martin Georgiev et Vitaly Shmatikov. La firme de Redmond estime qu'il n'y a pas de vulnérabilité de sécurité.