Dans cet article, Nous allons vous exposer quelques dangers relatifs à l’utilisation des raccourcisseurs d’URL (URL Shortener) au travers plusieurs exemples concrets.

Qu’est-ce qu’un raccourcisseur d’URL ?

Les raccourcisseurs d’URL, ou URL Shortener sont des applications en ligne qui permettent aux utilisateurs de créer une URL assez courte, redirigeant vers une URL plus longue. Par exemple l’application web bit.ly va, pour l’URL https://thehackernews.com/2018/09/twitter-account-hacked.html me fournir l’URL courte suivante : https://bit.ly/2xcoe0N

Lorsque que l’utilisateur clique sur l’URL https://bit.ly/2xcoe0N, il requête le service bit.ly, qui stocke dans ses bases de données la correspondance 2xcoe0N https://thehackernews.com/2018/09/twitter-account-hacked.html, et le redirige vers l’URL longue via une redirection 301.

Ces URL sont plus facile à retenir, mais aussi à partager sur les réseaux sociaux, lors de la saisie d’URL sur mobile, la transmission de liens par mail, etc. Les raccourcisseurs d’URL sont aujourd’hui largement utilisés et nombre d’applications possèdent des intégrations natives ou via modules de ceux-ci.

Il existe beaucoup de raccourcisseurs d’URL aujourd’hui, parmi les plus utilisés: bit.ly, buff.ly, TinyURL, ow.ly... Certains services tels que bit.ly assurent qu’un lien court créé n’expirera jamais.

Quels sont les dangers ?

Plusieurs problèmes bien connus concernent les raccourcisseurs d’URL, le premier étant bien entendu que l’utilisateur qui clique sur un lien court ne peut pas savoir où il va atterrir, il s’agit donc d’un outil facilitant le phishing, notamment pour les cas où une charge utile (Javascript par exemple) est exécutée dés le premier accès et sans action supplémentaire de l’utilisateur. Cela peut également être intéressant pour l’exploitation de vulnérabilité CSRF (voir https://www.information-security.fr/dvwa-csrf-file-inclusion-solutions-explications-protections/). Bref. Pour cela, plusieurs services en ligne existent et permettent de vous afficher la destination finale d’un lien court avant tout accès (https://checkshorturl.com/expand.php), il faut cependant avoir le réflexe de les utiliser.

Il est également possible d’obtenir des métriques intéressantes sur un lien pour certains services en ajoutant un “+” à la fin de l’URL courte (par exemple https://bit.ly/2xcoe0N+). Bit.ly et goo.gl proposent notamment cette fonctionnalité, qui permet également de voir la destination finale du lien sans y accéder.

Bref, on y trouve tout et n’importe quoi. Le problème ici est que les utilisateurs ne sont pas conscient du danger. Également, certains services ne devraient pas pouvoir être utilisés sur des raccourcisseurs d’URL, notamment les services de partage de fichiers car cela casse la sécurité de leur token, initialement assez robustes pour éviter d’être cassés par une attaque de type brute force.

La seule leçon à retenir est donc la suivante : Si vous utilisez un raccourcisseur d’URL, considérez que le lien soumis est désormais totalement public, abstenez-vous donc dans certains cas.

French