Le réducteur d'URL cli.gs victime d'une attaque

Dans mon bulletin du 12 Mars intitulé "Twitter ou les risques du microblogging" j'évoquai le risque que les systèmes de réduction d'URLs pouvaient poser, notamment dans le contexte d'un service comme Twitter. C'est chose faite, une première attaque est apparue.

Il y a quelques jours, le service de réduction d'URLs "cli.gs" a été victime d'une attaque et près de 2 millions d'URLs ont été modifiées par un attaquant qui a redirigées celles-ci vers une page du site Freedomblogging.com.

L'impact de cette attaque est à prirori assez limité car la page vers laquelle les utilisateurs étaient redirigés ne véhiculait à priori aucun code malicieux ni attaque. Il s'agit donc d'un premier avertissement : Les réducteurs d'URL sont fort pratiques mais ne doivent être nullement  négligés d'un point de vue sécurité.

Afin de reprendre le contrôle et visualiser la destination réelle de ces URLs raccourcies, l'extension Firefox "LongURL" est disponible. Ce service supporte l'extension automatique de plus de 200 service de réduction d'URL.
Jean-François Audenard

Au sein de la direction sécurité du Groupe Orange, je suis en charge de la veille sécurité et de la sensibilisation à la sécurité. Franchise, optimisme et bonne-humeur sont mes moteurs quotidiens