Raccourcir ses urls, tout le monde le fait ! Chaque jour, des millions d’utilisateurs ont recours à des outils pour modifier la longueur de leurs liens. Très pratiques sur les réseaux sociaux comme Twitter, il s’avère pourtant qu’une très importante faille de sécurité ait été découverte par 2 chercheurs.
Pourquoi raccourcir ses urls ?
Chez The Moneytizer, nous sommes les premiers à utiliser les services de bit.ly pour raccourcir les urls de nos articles. En effet, depuis quelques années, ces outils sont très utilisés pour plusieurs raisons :
– permettre de réduire le nombre de caractères pour un post
– rendre plus esthétique et plus facile à retenir une url
– permettre un tracking sur les liens. Ainsi savoir combien de personnes ont cliqué dessus, l’ont partagé ou encore la source du clic (facebook, site web etc.).
En bref, ces outils qui ont grandement gagné en popularité semblent être des compagnons parfaits. Seul bémol, le lien a la même durée de vie que le service utilisé pour le créer : mieux vaut se concentrer sur les services les plus connus comme bit.ly ou l’outil de Google goo.gl.
Faille de sécurité majeure
Tout le monde pensait que ces liens étaient générés d’une manière totalement aléatoire. Mais 2 chercheurs (Vitaly Shmatikov et Martin Georgiev) ont étudié ses liens pendant 18 mois pour finalement démontrer qu’il n’en est rien.
La structure retrouvée est toujours la même : un nom de domaine et 6 caractères. Il est donc possible de deviner ou retrouver, via une attaque par force brute, n’importe quel lien généré.
Les preuves sont accablantes ! En utilisant ce système, les 2 chercheurs sont parvenus à mettre la main sur des documents hébergés sur le cloud de Microsoft sans connaître l’url exacte ou même l’identifiant du compte ! Même constat sur Onedrive où les 2 hommes ont eu accès à plus d’un million de documents hébergés.
Google Maps a utilisé le même procédé pour obtenir 23 millions d’itinéraires. Allant du transport d’une victime vers un hôpital jusqu’à un itinéraire pour se rendre dans un club de striptease.
Préconisations
Devant cette faille de sécurité qui permet le vol de données, les chercheurs préconisent de ne plus utiliser ces outils.
Chez The Moneytizer, nous pensons que tout dépend de votre utilisation de ces liens. En effet, si vous vous servez de ces outils simplement pour partager du contenu public (blog ou autres) de manière plus esthétique sur les réseaux sociaux, il n’y a à priori aucun risque à utiliser votre raccourcisseur préféré car aucune donnée sensible ne risque de fuiter.
En revanche, raccourcir les liens de vos données confidentielles (fichiers sur le drive etc.) pour les partager semblent être une pratique à éviter ! De son coté, Google a complexifié son outil en passant ses liens à 12 caractère. La preuve qu’une faille de sécurité a bien été détectée.