L’intérêt et le fonctionnement des URLs courtes
Avant de parler des URLs courtes, nous définirons brièvement la notion d’URL, pour que les néophytes ne soient pas perdus.
L’acronyme URL signifie « Uniform Ressource Locator » et correspond à l’adresse unique d’une page web sur internet.
A titre d’exemple, l’URL du présent blog est : http://www.voxpi.info/
Les liens pointant vers les pages profondes d’un site sont souvent désignés par une URL « à rallonge ».
Avec l’expansion fulgurante du micro-blogging, et notamment de Twitter, un besoin s’est fait sentir de raccourcir ces adresses. En effet, Twitter ne permet que de s’exprimer dans un espace réduit de 140 caractères. Difficile de s’exprimer lorsque l’on souhaite partager avec ses contacts la page d’un site et que le lien phagocyte les neuf dixièmes de la place allouée.
Dans cette optique, des sites tels que Bit.ly ou encore TinyUrl.com ont vu le jour pour permettre aux internautes de convertir leurs URL longues et complexes en URL simplifiées.
Le principe est simple : le fournisseur de liens raccourcis (ou « URL shortner ») va attribuer une adresse très courte à l’URL qui lui est soumise, et quand l’internaute postera cette adresse, les personnes cliquant dessus ou saisissant l’adresse simplifiée seront redirigées vers le site initial
L’URL [http://www.voxpi.info/2010/04/07/les-urls-courtes-une-corde-de-plus-a-l’arc-des-pirates-du-net/] sera convertie en [http://bit.ly/c6IBKP] en utilisant Bit.ly par exemple.
Créées de prime abord pour faciliter la vie des internautes, et trouvant une utilité dans bon nombre d’applications du net, ces URLs courtes ont été détournées de leur but premier par des personnes malveillantes.
Le détournement d’un outil utilitaire à des fins malveillantes
Le fait de raccourcir une URL va dans un premier temps avoir pour effet de masquer la destination réelle vers laquelle elle pointe, et donc détourner la vigilance de l’internaute qui sera plus enclin à cliquer sur une URL simplifiée que sur une URL dont l’adresse serait http://mechants-hackerz.com/trojan/virus-de-la-mort-qui-tue.exe (attention, ne pas cliquer !!).
Les hackers en tous genres ont senti la bonne affaire et se sont engouffrés dans la brèche. En effet, les tentatives de phishing, spams, transmission de virus et autres pratiques malicieuses se sont multipliées avec l’utilisation croissante des URLs courtes.
ex : évolution du volume de spams dans les URLs courtes (avril à juin 2009).
Source : New York Times
Les spammeurs ont mis au point des techniques permettant aux botnets de créer directement et automatiquement des liens raccourcis qui ne permettent pas aux utilisateurs d’avoir des doutes quant à la fiabilité des sites auxquels ils vont accéder.
Le principe même des réseaux sociaux va jouer en faveur des pirates. Un internaute ne se posera pas de question et cliquera sans mal sur un lien posté par l’un de ses « amis » puisqu’il le considérera comme digne de confiance.
En quelques clics, l’utilisateur risque une infection de masse, comme le montre cette courte vidéo mise en ligne sur le site du célèbre antivirus « Symantec » .
De plus, ces URLs courtes masquant l’adresse d’origine du site permettent à des adresses blacklistées de passer outre la protection.
Certains URLs shortners ont depuis la fin de l’année dernière commencé à avertir leurs utilisateurs de ces menaces potentielles, et certains moteurs de recherche permettent à présent de prévisualiser les adresses vers lesquelles redirigent les URLs courtes, tandis que d’autres demandent la confirmation de l’internaute pour aller sur ledit site.
Mais comme souvent, c’est du comportement de l’internaute et de sa maîtrise du net que vient la faille principale. Tandis qu’un utilisateur expérimenté saura déterminer si un site ou une application est digne de confiance, le novice, parfois naïvement, tombera dans le piège tendu par les pirates (ingénierie sociale).
Une question d’éducation de l’internaute qui, espérons-le, viendra avec le temps.
Bonnes pratiques
Des outils en lignes gratuits peuvent aider les utilisateurs à y voir plus clair.
Nos équipes utilisent régulièrement l’un d’entre eux : Redirect Detective.
Une fois votre adresse renseignée et validée dans le champ de recherche, cet outil va afficher les différentes étapes de redirection associées à une adresse ; la dernière étant l’adresse finale d’arrivée de la navigation.
A partir de cette cartographie, il devient plus simple de repérer des étapes de navigation suspectes et par conséquent les url courtes à éviter.
En savoir plus :
Article rédigé par Maxime Platakis, stagiaire au département Multimédia du Cabinet Meyer & Partenaires.