• Versions d'évaluation & téléchargements
  • Produits pour particuliers et indépendants
  • Produits pour PME et grandes entreprises
  • Malware Cleaner
  • Fichiers d'installation
• • Corporate
  • Norge
  • France
  • Deutschland
  • Sverige
  • Danmark
  • Suomi
  • Nederland
  • Schweiz
  • España
  • United States
  • United Kingdom
  • Italia
• À propos de Norman
  • Visions et valeurs de l'entreprise
  • Equipe de direction
  • Notre technologie
  • Récompenses et certifications
  • Cas clients
  • Centre de presse
  • Événements
  • Careers
  • Abonnement à la liste de diffusion
  • Nous contacter

Centre de sécurité

Les URL faciles – bon ou mauvais système?

2009-07-03 [Discussion sur les nuisances, Ingénerie sociale, Mécanismes de diffusion, Tendances et prévisions]

   Week 16, 2009

Introduction

Les URL (localisateurs uniformes de ressources) figurent parmi les éléments cruciaux de l’utilisation d’Internet. Ils indiquent l’emplacement où est disponible une ressource Internet et comment l’obtenir.

Par exemple, l’URL http://www.norman.com/technology/norman_sandbox/54570/en indique que la ressource Internet technology/norman_sandbox/54570/en est stockée sur l’ordinateur www du domaine norman.com. Pour obtenir cette ressource, il convient d’utiliser la méthode http (hypertext transfer protocol ou protocole de transfert hypertexte), qui est communément employée pour la navigation et constitue la méthode la plus utilisée sur Internet.

Comme la croissance du volume des informations disponibles sur Internet est continuelle et va de pair, jusqu’à un certain point, avec l’automatisation de leur publication, les URL peuvent être longs, complexes et obscurs. Leur écriture est ennuyeuse et les technologies de liaison se résumant à cliquer sur un URL pour accéder à la ressource sont donc relativement utiles.

Twitter – une stimulation pour les fournisseurs d’URL courts

Le lien pallie la difficulté de la saisie au clavier des URL. Toutefois, il ne résout pas le problème lié au fait que le lien visuel doit, quelque part, abriter des informations sur l’URL proprement dit. C’est un réel obstacle lorsque vous ne disposez que d’un nombre limité de caractères. C’est particulièrement le cas avec certains réseaux sociaux, tels que Twitter, qui limitent la taille maximum des messages à 140 caractères. L’URL ci-dessus, pointant vers des informations liées à la technologie SandBox de Norman, consomme plus d’un tiers des caractères alloués à l’expéditeur.

C’est là qu’interviennent les fournisseurs d’URL courts, qui ont enregistré un regain de popularité lié à la croissance de Twitter et autres réseaux sociaux dont la longueur des messages est limitée.

Voici, entre autres, quelques fournisseurs d’URL courts :

• Metamark
• TinyURL.com
• ShortURL.com
• bit.ly
• Cligs
• is.gd

Les fonctionnalités des URL courts

Pour simplifier, les fournisseurs d’URL courts proposent de traduire une destination URL longue et complexe en un URL court et simple. Cette permutation des URL est accomplie par le fournisseur de l’URL court.

Cette fonctionnalité est manifestement utile et, au premier abord, très tentante. Toutefois, comme nous le verrons, elle entraîne aussi des problèmes de sécurité.

Problèmes de sécurité – deux types différents

La fonction de réduction des URL implique au moins deux problèmes de sécurité totalement différents.

Vulnérabilités liées aux fournisseurs d’URL courts

Il s’agit du problème de sécurité le plus sérieux.

Si le système proprement dit est mis en péril d’une manière ou d’une autre, les conséquences peuvent être graves. Un complice infiltré chez le fournisseur d’URL courts ou un hacker opérant de l’extérieur peut transformer le système de telle sorte que les URL ne « traduisent » plus ce qu’attendent les utilisateurs. Au lieu de cela, les URL courts peuvent rediriger l’internaute innocent, qui clique sur ce type d’URL, vers des sites web au contenu nuisible (au pire).

Ce scénario n’est pas seulement théorique :

Le 15 juin 2009, Cligs – un fournisseur de services d’URL courts – a, selon le blog de son site web, subi une intrusion. Cette attaque a touché 2 millions d’URL courts, qui, après l’intrusion, ont pointé vers une destination autre que celle attendue.

Problèmes de sécurité provoqués par les utilisations malveillantes du système

Les problèmes de ce type sont possibles si (car !) tous les utilisateurs d’un tel système ne sont pas bienveillants. Bien que les fournisseurs d’adresses abrégées disposent, en théorie, d’un système chargé de vérifier les pages web auxquelles se réfèrent les URL courts, ces systèmes ne sont jamais infaillibles. Les créateurs d’un URL court peuvent, par exemple, le lier à un site web nuisible ou à un site qui leur versera de l’argent en fonction du nombre de visiteurs qui lui sont envoyés par un lien particulier.

Limitations du système lui-même

En principe, lorsque l’on rencontre un lien, il est possible de placer la souris dessus pour lui faire afficher sa destination. Chacun décide alors s’il a assez confiance pour cliquer ou non sur ce lien.

Cette information supplémentaire n’est pas proposée aux utilisateurs qui doivent décider ce qu’ils doivent faire en se basant sur l’URL abrégé.

Résumé

Cette fonction de réduction de la longueur des URL a évidemment des mérites. Toutefois, elle comporte des limitations et entraîne des problèmes de sécurité qui rendent le système proprement dit moins sûr qu’il devrait l’être.

• Politique de confidentialité
• Contrat de licence
• Trademarks
• Plan du site
• Nous contacter

© Norman ASA