L’étude menée par deux chercheurs en sécurité révèle que les URL raccourcies exposent leurs utilisateurs à des risques accrus de sécurité. Martin Georgiev et Vitaly Shmatikov chercheurs de l’université Cornell tech à New York ont démontré que les URL courtes sont sujettes aux piratages informatiques.
Le recours à des URL raccourcies se fait via des réducteurs de liens qui réduisent le nombre de caractères d’un lien à quelques chiffres et lettres, leurs utilisateurs trouvent par la suite plus facile de partager ces liens concis et précis via les réseaux sociaux ou SMS.
Des URL fragiles et menacées
Avec un lien réduit qui contient entre 5 et 6 caractères, lancer une recherche devient plus facile, ciblée et moins contraignante, il est aussi plus simple d’échanger ce lien. Cependant ces URL raccourcies deviennent plus exploitables avec leurs combinaisons de caractères simples, elles sont les proies des pirates informatiques qui en extraient les données pour installer des logiciels malveillants, les infiltrent pour récupérer des données personnelles à l’instar de mots de passe ou encore copient des fichiers personnels des utilisateurs.
Les chercheurs ont confirmé ces résultats en essayant d’accéder à différentes URL émises par certains services notamment le cloud, où ils ont pu avoir accès à un million de documents hébergés sur la plateforme grâce à un simple scan de 100 millions d’adresses. Par ailleurs, le service Onedrive est aussi mis à mal, puisqu’il permettrait de remonter à l’utilisateur du document hébergé via le lien envoyé. Cela étant le cas aussi pour Google Maps où les URL générées contiennent très peu de caractères, permettant de détecter plus de 23 millions de liens fonctionnels.
Le service bit.ly pointé du doigt
Afin de pallier à toute insécurité, les chercheurs préconisent l’utilisation de plus longues adresses URL et de privilégier son propre service de raccourcissement de lien et de surtout éviter bit.ly qui s’avère instable et propice aux piratages informatiques. Alerté par le danger que représentent des URL raccourcies, Google a rectifié le tir en modifiant ces outils de génération de ces adresses en les rendant plus longues contenant 11 à 12 caractères. Par ailleurs, Microsoft ne propose plus des URL raccourcies et a désactivé cette option dans OneDrive.