Tout le monde en conviendra : les réducteurs de liens sont bien pratiques. Ils permettent de partager un lien facile à lire et à retenir, qui prend peu de place et qui ne se retrouvera pas cassé en deux dans un email par exemple. Mais attention : si vous utilisez des liens raccourcis pour partager l’accès à un dossier ou un document stocké dans le cloud, vous risquez que de voir ces données tomber en de mauvaises mains, et même de récupérer des malwares sur votre ordinateur. Pourquoi ? Parce que les liens raccourcis sont bien trop simples.
En effet, la plupart des réducteurs de liens – tel que Bit.ly – transforment une adresse complexe en un « token » de 5 ou 6 caractères, ce qui n’est pas beaucoup. Un pirate peut donc essayer toutes les combinaisons possibles pour tomber sur des documents accessibles en lecture, voire même en écriture. Dans le cas où il détecterait des dossiers entiers accessibles en écriture, il pourrait y insérer des documents piégés avec des malwares qui pourraient se retrouver automatiquement sur l’ordinateur de l’utilisateur, si celui-ci a activé la fonction de synchronisation.
Les chercheurs en sécurité Martin Georgiev et Vitaly Shmatikov ont exploré ce vecteur d’attaque de façon automatisée et ont montré dans leur rapport qu’il était relativement aisé. Ils ont généré de manière aléatoire 200 millions de tokens Bit.ly à 5 ou 6 caractères. Parmi eux, environ 70 millions correspondaient à des adresses réelles, dont environ 66.000 pointaient, à priori, vers des fichiers ou des dossiers sur Microsoft OneDrive ou Microsoft SkyDrive.
Parmi ces adresses, 47.365 étaient réellement actives et donnaient accès à des documents. Chacune correspondait à un compte utilisateur différent. Parmi les comptes OneDrive ainsi détectés (24.199), les chercheurs ont en trouvé 1.711 qui disposaient d’au moins un répertoire accessible librement en écriture, soit environ 7 %.
Mais comment les chercheurs ont-ils fait pour identifier ces répertoires ? Le format d’URL créé par Microsoft était assez prédictible et permettait de trouver l’adresse du répertoire racine à partir de n’importe quel lien de fichier. Il suffisait ensuite de scanner les liens qui y figuraient pour identifier les dossiers. A ce jour, cette méthode n’est pas plus possible, car Microsoft a depuis modifié son format d’URL.
Google, beaucoup moins représenté
Les chercheurs ont également trouvé des liens actifs vers des dossiers Google Drive, mais seulement 33. Deux raisons expliquent ce faible chiffre : les chercheurs ne pouvaient pas accéder aux répertoires racine, et le service Bit.ly n’était pas intégré à la fonction de partage de Google Drive, contrairement aux services de Microsoft. Google Drive est donc beaucoup moins représenté dans le panel Bit.ly que OneDrive. A ce jour, Bit.ly n’est plus intégré dans ces services.
Enfin, les chercheurs ont également scanné le service de réduction d’URL intégré dans Google Maps (goog.le/maps). Sur 63 millions de tokens générés, 23 millions correspondaient à des cartes réelles. Par ailleurs, ils ont trouvé presque 200.000 liens vers des cartes dans leur panel d’adresses Bit.ly. Le risque, dans ce cas, est celle de la fuite de données personnelles. Selon les deux chercheurs, ces cartes permettraient de reconstituer l’activité d’un utilisateur, voire même son identité grâce à des techniques de recoupement. Google a depuis modifié son réducteur. Ses tokens utilisent désormais le double de caractères, ce qui rend le scan aléatoire quasiment impossible.
Que faut-il retenir de tout cela ? Si vous partagez l’accès à des documents sensibles stockés dans le cloud, il vaut mieux accorder l’accès de façon nominative et non au travers d’un lien. Et si vous utilisez quand même un lien, évitez absolument les réducteurs d’URL.
Source :
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.