Deux chercheurs en sécurité ont publié les résultats de leurs recherches indiquant que l’utilisation des services de réductions d’URL constituerait une menace de sécurité sur le cloud, en ce sens qu’elle poserait des problèmes de confidentialité. Lorsqu’ils sont utilisés pour partager des données protégées par des informations d’identification incluses dans l’URL, ces services peuvent permettre à des attaquants d’accéder aux données en effectuant simplement des recherches dans l’espace d’adressage, du fait que ces adresses sont très courtes et prévisibles. L’équipe de chercheurs, composée de Vitaly Shmatikov travaillant chez Cornell Tech et d’un chercheur indépendant nommé Martin Georgiev, a mené une étude de dix-huit mois. Les deux hommes se sont penchés sur deux plateformes utilisant des services de raccourcissement d’URL, OneDrive et Google Maps. Shmatikov déclare dans leur article qu’ ils n’ont « pas effectué une analyse de toutes les URL courtes », mais qu’ils en ont étudié assez pour découvrir des informations significatives et pouvoir en tirer d’importantes conclusions. Pour rechercher des fichiers partagés à travers le cloud, les deux chercheurs ont effectué une analyse d’un échantillon de 100 millions d’URL raccourcies du domaine bit .ly, en générant de manière aléatoire des liens courts de six caractères, utilisant 189 différentes machines pour accéder à l’API du service de recherche du domaine bit. ly et en générant des liens courts de sept caractères obtenus en ajoutant le caractère « 1 » au début des liens de six caractères.
Ce travail de recherche a permis de révéler que les contenus des adresses du domaine byt .ly sont exposés à des problèmes de confidentialité, d’après les chercheurs. Shmatikov affirme que 42 % des URL considérées composées de six caractères correspondent à des URL réelles et que ces dernières sont liées à des fichiers et des répertoires stockés sur OneDrive ou SkyDrive. Quant aux URL composées de sept caractères, 29 % d’entre elles ont pu être déterminés par les deux chercheurs comme correspondant à des liens valides de OneDrive et SkyDrive. L’équipe de chercheurs note dans l’article qu’il serait possible de déterminer avec succès beaucoup plus d’adresses en ajustant la recherche sur un bloc spécifique d’adresses, car les URL de bit .ly ne seraient pas toutes générées de manière aléatoire. Les chercheurs ont également découvert en effectuant des recherches sur les URL raccourcies utilisées sur Google Maps que sur un échantillon de plus de 23 millions d’URL courtes, dix pour cent ont servi pour enregistrer les directions d’un endroit à l’autre ainsi que les adresses des endroits en question. Ces informations ont ensuite pu être associées à des comptes Google spécifiques, ce qui représente une faille de sécurité potentielle, car les chercheurs sont en mesure de déterminer à partir de là, la personne associée à indication de direction en se basant sur les adresses.
Les deux chercheurs auraient réussi à accéder en tout à plus de 1,3 million de fichiers sur le cloud OneDrive en analysant les URL complètes correspondantes aux URL courtes de la plateforme de Microsoft. D’après eux, au moins 7 % des URL courtes de OneDrive sont liées à des fichiers et dossiers partagés avec des droits d’accès en écriture. Ils ajoutent que des centaines de comptes Google Drive sont dans le même cas de figure. En effet, poursuivent les chercheurs, tout comme pour OneDrive, celui qui découvre le lien réel qui est caché derrière une URL courte correspondant à un dossier Google Drive peut y télécharger du contenu nuisible qui sera automatiquement synchronisé sur les appareils de l’utilisateur concerné. Cela peut notamment être utilisé par un attaquant pour propager des virus sur les appareils des utilisateurs de ces plateformes. Se basant sur la taille des URL courtes proposées par le domaine bit. ly, les deux chercheurs estiment qu’il serait possible pour un attaquant de rechercher l’ensemble des liens correspondant aux URL courtes de bit. ly en un seul jour.
Source : arxiv.org
Et vous ?
Qu'en pensez-vous ?Voir aussi
la rubrique Actualités 
Envoyé par Chuck_Norris
