Le réducteur d’URL Cli.gs piraté, 2,2 millions d’adresses frappées
Il s'est fait tailler un short
Cli.gs est un service similaire à TinyURL. Très utilisé sur Twitter, il permet de réduire une longue URL en une version ultra courte. Idéale lorsqu’on sait que Twitter ne laisse que 140 malheureux caractères pour s’exprimer. Seulement, le site a subi dans la nuit de dimanche à lundi une attaque : un pirate est parvenu à exploiter une faille de sécurité. Il a tout simplement rerouté des millions d’adresses URL vers une page hébergée sur Freedomblogging.com, un site canadien dont on ose imaginer les statistiques de visite ce jour-là. En tout, 2,2 millions d’URL ont été affectées (2 188 978 très exactement).
L’équipe de Clig.gs n’avait pour seule restauration qu’une sauvegarde datant du mois de mai. Elle assure cependant que 93% des URL piratées ont été récupérées. De plus, elle assure qu’aucun mot de passe n’aurait été malmené. « Ils sont stockés chiffrés et n’ont jamais été à risque dans cette attaque ». Toute cette opération de réparation, qui exige aussi une modification des DNS, prend du temps.
Du côté des éditeurs de solutions de sécurité comme Sophos, on fait valoir que ces réducteurs d’URL présentent un risque important et que les utilisateurs ne devraient pas faire confiance automatiquement aux liens postés sur des sites comme Twitter... Facile à dire, sauf à utiliser des services comme Longurl, qui permet de décompacter l’URL rétrécie... Du côté de Kasperky on souligne cependant que la page cible ne contenait aucun code malicieux et que cette attaque était plus une démonstration qu’autre chose.
L’équipe de Clig.gs n’avait pour seule restauration qu’une sauvegarde datant du mois de mai. Elle assure cependant que 93% des URL piratées ont été récupérées. De plus, elle assure qu’aucun mot de passe n’aurait été malmené. « Ils sont stockés chiffrés et n’ont jamais été à risque dans cette attaque ». Toute cette opération de réparation, qui exige aussi une modification des DNS, prend du temps.
Du côté des éditeurs de solutions de sécurité comme Sophos, on fait valoir que ces réducteurs d’URL présentent un risque important et que les utilisateurs ne devraient pas faire confiance automatiquement aux liens postés sur des sites comme Twitter... Facile à dire, sauf à utiliser des services comme Longurl, qui permet de décompacter l’URL rétrécie... Du côté de Kasperky on souligne cependant que la page cible ne contenait aucun code malicieux et que cette attaque était plus une démonstration qu’autre chose.
Marc Rees
le 17 juin 2009 à 11:28
(17 673
lectures)
Actualités et brèves relatives
- 09 / 06 / 2009 : Epix : l'arme anti-piratage de Paramount, Lionsgate et MGM
- 27 / 05 / 2009 : Hadopi, "meilleur équilibre" anti-piratage pour France Télécom
- 12 / 05 / 2009 : Le piratage de logiciels diminue légèrement en France
- 04 / 05 / 2009 : Piratage, offre légale : interview de l'éditeur X Marc Dorcel
- 20 / 04 / 2009 : France, Canada, Chine : qui est le réel champion du piratage ?
- 13 / 01 / 2009 : Le site de l'Alliance arabe anti-piratage... se fait effacer
- 07 / 01 / 2009 : Tribunal de Bonneville : ni piratage, ni attaque, de la malchance
- 19 / 11 / 2008 : Le rapport sur le piratage remis à Albanel, détruit sur le Web
