Désormais ancrés dans le paysage du Web, les hyperliens courts peuvent révéler beaucoup d’informations personnelles.
C’est le constat dressé par Martin Georgiev et Vitaly Shmatikov dans leur rapport « Gone in Six Characters: Short URLs Considered Harmful for Cloud Services » (document PDF, 11 pages).
Les deux chercheurs de l’université Cornell ont découvert que ces URL raccourcies sont élaborées sur une syntaxe prévisible qui peut être recherchée et identifiée pour extraire des données.
Dans le cadre de leurs travaux sur les services proposés par Google (goo.gl), Microsoft (1drv.ms), Bing Maps (binged.it) et Bitly (bit.ly), ils se sont aussi aperçus qu’il était possible de diffuser des logiciels malveillants en générant facilement des adresses préexistantes.
La technique employée par leurs soins n’est autre que la force brute. Elle a permis, entre autres, de mettre au jour un grand nombre de comptes OneDrive avec des documents personnels. Des comptes qui, pour la plupart, ne sont pas verrouillés et s’exposent à l’injection de malware.
Sur le volet Google Maps, Martin Georgiev et Vitaly Shmatikov ont examiné près de 24 millions de liens, dont 10 % contenaient des itinéraires « sensibles » comme des établissements de santé, des prisons ou des clubs de strip-tease, note Silicon.fr.
« Les entreprises et les personnes pensent qu’il s’agit simplement de partager un document avec un collaborateur, mais si vous partagez un lien court avec 6 caractères, vous le partagez avec le monde entier », concluent les deux chercheurs, qui précise que si Google et Microsoft ont appliqué des correctifs à leurs services respectifs, les anciens liens restent vulnérables.
Crédit photo : seanbear – Shutterstock.com
Microsoft lance Phi-3-mini, un petit modèle de langage (SLM) qui s'adresse aux entreprises ne disposant…
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…