Pourquoi la nouvelle menace des URL raccourcies intéresse les plus grands éditeurs

Le dernier gros bug de Twitter a permis de mesurer l'importance de la sécurité des liens raccourcis de plus en plus partagés. Les poids-lourds de la sécurité veillent au grain et se positionnent.

Ces dernières 48h ont été mouvementées pour Twitter, un service de microblogging utilisé par près de 150 millions de personnes. Une faille XSS a permis d'injecter un javascript malicieux de type "mouseover" : passer la souris sur un message posté sur ce site suffisait à propager le ver ou à afficher des pop up malveillantes. Résultat : même un compte officiel de la Maison blanche a été victime de l'attaque. Et les messages postés par celui de l'ex-femme du premier ministre britannique, Sarah Brown, renvoyait vers un site de contenu pour adultes. Le code a pu être injecté dans une URL raccourcie.

Un service en pleine explosion

En réduisant à quelques caractères les longues adresses URL, ce service est particulièrement prisé sur un site de partage d'information comme Twitter où le nombre de signes est limité à 140. Mais le service est en pleine explosion, et pas seulement grâce à Twitter ou Facebook puisqu'il peut se glisser partout où il y a des adresses URL : dans les mails ou les articles de la presse, en ligne ou non. Cette croissance peut laisser imaginer que le service gagnera encore bientôt en visibilité, en apparaissant par exemple de plus en plus dans les pages de recherches Google, qui indexe entre autres les résultats de Twitter en temps réel.

Preuve que le marché intéresse, bon nombre d'acteurs s'y sont lancés. Difficile de les énumérer tant il y en a :  tinyurl, owl.y. bit.ly, etc. Mais certains sortent du lot, comme  récemment Google, Wordpress ou justement Twitter, qui dispose de son de propre service de raccourcissement d'URL, t.co. C'est ce service qui a été vulnérable à la gigantesque attaque XSS du début de semaine : il était en effet possible de rajouter un code malveillant à la fin de l'URL à raccourcir.

 

L'un des derniers rapports McAfee fait état d'un nombre croissant d'URL malveillantes hébergée

 De nouveaux défis de sécurité

 Fulgurante et mondiale, s'attaquant à des utilisateurs crédibles, la vulnérabilité a exposé les Internautes à de graves menaces, à commencer par le vol de données confidentielles (identification ou codes bancaires via phishing) et la constitution de botnet après un téléchargement inopportun. L'enjeu n'est donc pas anodin et pose de nouveaux défis de sécurité.  

Il n'est donc pas étonnant de voir McAfee annoncer aujourd'hui vouloir les relever. Arrivant au bon moment après la médiatisation de cette faille, la désormais filiale d'Intel annonce donc son propre site réduisant les URL. Dans le communiqué annonçant la bêta de cette offre", l'éditeur se justifie : "L'un de nos derniers rapports fait état d'un nombre croissant d'URL malveillantes hébergées soit, au sein de domaines et de serveurs dédiés, soit au sein de domaines légitimes au niveau de leur chemin d'accès. Ainsi en 2009, 6 % des URL malveillantes identifiées et neutralisées par McAfee étaient présentes au niveau du chemin d'accès. En 2010, ce pourcentage a atteint les 16 %."

Ces derniers mois, McAfee Labs a ainsi pu constater "une recrudescence significative des attaques de cyber-escrocs détournant des événements d'actualité afin de dissimuler des liens vers des sites malveillants ou des malwares." Mais ce n'est pas le seul éditeur d'antivirus à s'intéresser à la sécurité de ce service : BitDefender le propose aussi via Safe.li. 

 La réponse des éditeurs

Les URL raccourcies posent donc deux problèmes de sécurité. Le premier : la multiplicité des services raccourcissant les URL rendent plus difficile de maîtriser la sécurité de chaque lien ainsi postés ou transmis. Second problème : une URL raccourcie ne montre sa réelle identité et donc sa potentielle malveillance que lorsque l'on clique dessus.


Par leur réputation, et leur technique de filtre et leur base de données, McAfee et BitDefender pourront certainement répondre au second problème. Pour le premier, il faudrait qu'ils s'imposent comme des références dans ce domaine, peut-être via des partenariats (avec les API de Twitter par exemple), ce qui n'est pas encore annoncé.