Marianne ANSSI

CERT-FR

Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques

logo ANSSI
Informations utiles

Que faire en cas d'intrusion ?

Les systèmes obsolètes

Liens utiles

 

L'ANSSI recrute

 

 

Les documents du CERT-FR

Publications récentes

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours Archive

 

Les Flux RSS du CERT-FR

Flux RSS complet

RSS

Flux RSS des alertes

RSS

Flux RSS SCADA

RSS

 

CERTFR-2016-ACT-018

Imprimer ce document

Version PDF

À propos du CERT-FR

Le CERT-FR

Nous contacter

Contact us ( Drapeau anglais )

A propos du site

Communauté CSIRT

Les CSIRT

Le FIRST

L'EGC

 
Archives du CERT-FR

Année 2017 Archive

Année 2016 Archive

Année 2015 Archive

Année 2014 Archive

Année 2013 Archive

Année 2012 Archive

Année 2011 Archive

Année 2010 Archive

Année 2009 Archive

Année 2008 Archive

Année 2007 Archive

Année 2006 Archive

Année 2005 Archive

Année 2004 Archive

Année 2003 Archive

Année 2002 Archive

Année 2001 Archive

Année 2000 Archive

 

S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

République Française Paris, le 02 mai 2016
No CERTFR-2016-ACT-018

Affaire suivie par :

CERT-FR

Objet : Bulletin d'actualité CERTFR-2016-ACT-018

1 - Etude sur les limites des adresses raccourcies

Une étude publiée par deux chercheurs américains met en évidence un défaut jusqu'alors ignoré dans le mécanisme de génération des adresses raccourcies ou TinyURL.

Ces adresses permettent de réduire de manière conséquente la taille d'une adresse WEB et de faciliter ainsi sa transmission sur des supports pour lequel les ressources sont réduites, le service Twitter en est un excellent exemple.

Cette réduction est assurée par un service tiers qui associera à l'adresse WEB une clef unique générée selon différents mécanismes qui, tous, visent à fournir une clef de taille très réduite. Le service sera ainsi à même de retourner l'adresse originale lors de la présentation de l'adresse raccourcie.

L'adresse de la page CERT-FR référençant l'avis de sécurité 143 publié en 2016 (

http://cert.ssi.gouv.fr/site/CERTFR-2016-AVI-143/index.html)
pourrait être réduite en l'adresse
http://bit.ly/1SJqwst
par le service bitly.

Citons parmi les services les connus: t.co opéré par la société Twitter (anciennement bit.ly), goo.gl opéré par la société Google ou encore 1drv.ms de la société Microsoft.

L'objectif du fournisseur de service est bien évidemment de minimiser les collisions - la réduction d'au moins deux adresses WEB génère la même clef - tout en réduisant au maximum la taille de l'URL raccourcie. Un compromis est assez aisé à atteindre en s'appuyant sur les 26 lettres et 10 chiffres disponibles, voire en imposant une durée de vie à l'adresse raccourcie. L'encodage utilisé par le service bitly permet ainsi de disposer de plus de 58 milliards de combinaisons pour une longueur de clef de 6 caractères.

Ce mécanisme de réduction peut aussi profiter à l'internaute curieux qui pourrait avoir l'idée de parcourir tout ou partie de cet espace de noms à la recherche de pages ou de documents qui pourraient ne pas être autrement accessibles, car non indexés ou encore stockés dans un Cloud par exemple.

Dans leur rapport de recherche, Martin Georgiev et Vitaly Shmatikov montrent que l'espace de nommage offert par certains services de réduction d'adresses peut-être facilement échantillonné à la recherche de documents intéressants. Il pourrait même être intégralement parcouru en temps raisonnable - 3 années tout de même - en utilisant les interfaces de requêtes proposées par la plupart de ces services et la puissance de calcul offerte par les plate-formes réparties mais aussi par un botnet.

Les chercheurs se sont plus particulièrement intéressés au service de stockage dans le Cloud OneDrive géré par Microsoft et à l'utilisation d'adresses raccourcies pour partager l'accès aux répertoires et fichiers stockés via ce service. L'analyse de quelques 42 millions d'adresses raccourcies sur 6 caractères par le service bitly leur a permis d'identifier plus de 3000 adresses référençant un répertoire ou un fichier dans le domaine onedrive.live.com et plus de 16000 adresses liées au domaine skydrive.live.com. Ce sont ainsi, et en moyenne, 43 documents stockés dans l'un ou l'autre de ces domaines qui ont été découverts quotidiennement lors du test. Les chercheurs estiment qu'un botnet pourrait énumérer tous documents ainsi référencés et stockés sous ces domaines en moins d'une journée.

La transmission anticipée de ces résultats aux sociétés Microsoft et Google a conduit ces dernières à mettre en place des mécanismes rendant impossible un parcours exhaustif en temps raisonnable. On retiendra de cette étude que l'utilisation de services de réduction d'adresses devra être proscrite pour toute adresse référençant une ressource privée ou non indexable par les moteurs de recherche - page, document, répertoire partagé dans le cloud - quand bien même ces adresses facilitent le partage et l'échange d'information dans une communauté d'usagers.

Rappelons par ailleurs que ces adresses raccourcies peuvent être utilisées à des fins de dissimulation de l'adresse WEB vers laquelle l'usager sera réellement dirigé. La généralisation de ces adresses raccourcies a hélas pour effet de rendre les usagers moins méfiants.

Documentation


2 - Rappel des avis émis

Dans la période du 25 avril au 01 mai 2016, le CERT-FR a émis les publications suivantes :

  • CERTFR-2016-AVI-143 : Multiples vulnérabilités dans Wireshark
  • CERTFR-2016-AVI-144 : Multiples vulnérabilités dans Juniper Junos Space
  • CERTFR-2016-AVI-145 : Multiples vulnérabilités dans Veritas NetBackup
  • CERTFR-2016-AVI-146 : Multiples vulnérabilités dans Mozilla Firefox
  • CERTFR-2016-AVI-147 : Multiples vulnérabilités dans Google Chrome
  • CERTFR-2016-AVI-148 : Multiples vulnérabilités dans les produits Juniper

Gestion détaillée du document

02 mai 2016
version initiale.
Dernière version de ce document : http://cert.ssi.gouv.fr/site/CERTFR-2016-ACT-018

CERT-FR
2016-05-02
Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information webmestre Dernière mise à jour : le 2017-04-28