Vous êtes sur le site public du Cert-IST
Danger des URLs courtes

Date :05 Novembre 2009

Publication: Article

Historique des URLs

Communément utilisées dans notre activité Internet quotidienne, pour certains sans même s'en rendre compte, les URLs (Uniform Resource Locator) permettent de rediriger l’internaute vers des ressources distantes réparties sur les réseaux, qu’ils soient Internet ou Intranet : sites web, serveurs FTP, fichiers partagés, contacts téléphoniques, etc.

Souvent confondues avec les URI (Uniform Resource Identifier), et plus connu que les URN (Uniform Resource Name), les URLs font partie intégrante de la navigation sur Internet. Sans elles, il ne serait pas possible d’accéder à une page web, un site, un serveur FTP, ou à une ressource quelconque hébergée sur un réseau.

 

URL, URI et URN

Techniquement les URLs et les URNs appartiennent toutes les deux à la famille des URIs. Elles se présentent sous la forme de chaines de caractères permettant d’identifier une ressource sur un réseau (cf. RFC 3986).

L’URN est une URI permettant d’identifier une ressource par son nom, sans préjuger de son emplacement sur le réseau. L’URL (Uniform Resource Locator) quant à elle, fournit en plus les moyens d'agir sur une ressource ou d'obtenir un traitement de celle-ci.

Cependant le déploiement d’Internet et les développements d’applications web ont rendu leur syntaxe de plus en plus complexe.

Face à cette complexité, certains sites ont mis en œuvre des mécanismes de masquage des URLs d’origines en URLs dites courtes. Ces dernières se sont notamment démocratisées dans certains réseaux sociaux dont Twitter, pour lequel les URLs ne pouvaient excéder 140 caractères, ou encore dans les blogs et les forums d’échanges.

 

Les URLs courtes

Initialement, elles devaient permettre d’éviter à l’internaute, des saisies au clavier fastidieuses. Ensuite elles ont été utilisées à des fins moins conventionnelles allant du masquage de messages publicitaires, au traçage de l’audience Internet, etc.

Ainsi de nombreux sites tels que « bit.ly », « tinyurl.com », « shorturl.com » ou encore « metamark.net » proposent de convertir n'importe quelle URL en un raccourci court, généralement inintelligible.

 

Principe de fonctionnement des URLs courtes

Le principe de fonctionnement des URLs courtes est simple. Il repose sur la conversion d’une adresse dite longue et souvent complexe, en une adresse courte c'est-à-dire simplifiée. Celle-ci est caractérisée par un identifiant dont l’association permet de retrouver l’URL initiale. Une fois l’association effectuée, le site du fournisseur de liens courts redirige l’internaute vers le site destination. Lorsqu'un internaute saisit une URL simplifiée, il est donc automatiquement redirigé vers la page associée à ce dernier.

Par exemple, l’URL suivante http://www.cert-ist.com/fra/presentation/HistoriqueduCertIST peut être convertie en http://fournisseur.liens.courts.com/cert-ist.com ou encore en http://fournisseur.liens.courts.com/XpmC89OA.

Suivant le site fournisseur, l’identifiant des URLs courtes peut être unique ou non ; ceci dépendant essentiellement du fournisseur de liens et de la souscription au service. Certains sites sont gratuits, d’autres payants et offrent divers services additionnels (permettant par exemple de savoir combien de personnes ont utilisées une URL courte donnée) nécessitant l’ouverture de comptes utilisateurs.

 

Les URLs courtes comme nouveau vecteur d’attaque

Bien que les URLs courtes présentent une utilité pour de nombreux services Internet, elles sont également connues pour poser des problèmes de sécurité, car leur usage initial a été détourné par des personnes malveillantes qui les utilisent comme un nouveau vecteur d’attaques.

En effet, le fait de raccourcir ou de transformer des URLs complexes a pour effet de bord de masquer la destination réelle pointée par cette URL. C'est donc pour les personnes malveillantes un moyen de tromper la vigilance de l’utilisateur, mais aussi des équipements ou moyens de filtrage. Les spammeurs, les créateurs de malwares et les pirates l’ont bien compris. Ils ont ainsi trouvé un nouveau moyen de conduire des attaques, et redirigent (en utilisant des URL courtes) leurs victimes vers des sites de phishing ou des sites hébergeant des malwares.

Les URLs courtes sont également devenues une arme redoutable pour les réseaux de botnets. En effet ces derniers ont trouvé le moyen de générer automatiquement de tels liens raccourcis afin de tromper leurs victimes. De plus, la possibilité d’associer plusieurs adresses courtes à des URLs redirigeant vers la même adresse destination, permet dans des attaques de type phishing par exemple de contourner les mécanismes basés sur les listes noires (blacklists).

 

Moyens de protection

Dans le cadre de ces attaques, les fournisseurs de liens courts jouent donc un rôle d’intermédiaires, qui à l’instar des sites pare-balles (bulletproof), permettent de protéger les sites de destination. Certains fournisseurs peu scrupuleux servent donc de protection pour de nombreux sites malveillants.

Plusieurs d’entre-deux ont été fermés du fait de leur exploitation à des fins malveillantes. Ces fermetures ont implicitement induit l’arrêt de milliers de redirections malveillantes.

Il n’existe malheureusement pas de moyens infaillibles de protection contre les URLs courtes. Des pistes existent mais ne sont actuellement pas implémentées par les navigateurs, les clients de messagerie ou par les solutions de protection intermédiaires comme les anti-virus ou les anti-malwares.

Citons parmi ces pistes :

  • La prévisualisation des liens par le navigateur des clients de messagerie (traditionnelle ou instantanée),
  • La pré-interprétation de liens courts par les anti-virus ou anti-malware, ou encore par les équipements de filtrage (proxy, etc.),
  • La visualisation des liens dans des bacs à sable,
  • L’utilisation de listes noires (blacklists),
  • L’utilisation de listes blanches ("whitelists" répertoriant les fournisseurs de liens courts de confiance).

 

Conclusion

L’essor des réseaux sociaux, des blogs, les besoins des développeurs de sites web font que l'utilisation d'URL courte s'est développée extrêmement vite. S’il est évident que la technologie n’a pas été initialement pensée pour être malveillante, son détournement l’a été.

L’utilisateur est ici l’élément central et le fait de lui faciliter la vie (en lui proposant des URL courtes) l'expose également à un risque accru d’être piégé. Il convient donc d’être prudent, et de rester vigilent lors de l'utilisation de liens courts surtout si ceux-ci proviennent de sources peu fiables ou inconnues.