Les services d'URL raccourcies sous la menace de liens frauduleux

Les services d'URL raccourcies comme Bit.ly ou TinyURL sont bien connus des internautes fréquentant les réseaux de micro-blogging. Grâce à ces outils, il est possible de convertir très rapidement une longue adresse en un lien beaucoup plus court. Ainsi, pour un site comme Twitter qui limite le nombre de caractères par message à 140, il est très appréciable de pouvoir gagner de la place pour continuer son tweet.

Or, avec la croissance folle de Twitter, le succès des URL raccourcies a littéralement explosé. Selon Websense, une société spécialisée dans la sécurité informatique, plus de 2 milliards d'adresses raccourcies ont été créées, uniquement pour le mois d'octobre. Et mécaniquement, cette popularité a attiré des internautes peu scrupuleux. Ce n'est guère étonnant. L'avantage conféré par les adresses réduites se perd automatiquement en clarté : une adresse convertie n'est guère parlante par rapport à l'originale. Dès lors, puisque la destination est masquée, il y a toujours un risque potentiel en suivant un de ces liens.

Pour lutter contre ce problème, le service d'URL raccourcies Bit.ly a annoncé hier sur son blog officiel l'établissement d'un partenariat avec trois sociétés de sécurité, Verisign, Websense et Sophos afin de renforcer l'intégrité du service contre des tentatives de spam ou de diffusion de programmes malveillants. L'objectif est de préserver l'intérêt des URL raccourcies utilisées massivement par les internautes passionnés de micro-blogging.

Le premier outil sera l'iDefense, de Verisign. Ce service va mettre l'accent sur la détection et la neutralisation des logiciels malveillants. Selon Andrew Cohen, le directeur général de Bit.ly, Verisign s'appuiera sur une liste noire pour vérifier les URL, les noms de domaines et les adresses IP qui pourraient héberger notamment du code malveillant ou des exploits.

Le deuxième service reposera sur Websense Threatseeker Cloud. L'objectif sera d'analyser en temps réel le contenu d'une page web associée à une adresse Bit.ly. À nouveau, l'objectif est de prémunir l'utilisateur des sites de phishing ou de spam. Enfin, dernier arrivé dans l'arsenal de défense, Sophos. La société aura pour mission d'aller au-delà des simples listes noires afin de détecter de façon pro active les tentatives de spam, de phishing ou de piratage.

Par ailleurs, Bit.ly rappelle qu'il est possible d'avoir des informations supplémentaires sur un lien sans pour autant cliquer dessus. Il suffit de rajouter à la fin d'une adresse Bit.ly le symbole " + ", afin d'obtenir le nom de la page, le nombre total de clics ou encore la structure du lien original. Bit.ly espère qu'avec tous ces outils, la menace qui pèse sur la pérennité des URL raccourcies disparaisse.

Cependant, "Bit.ly n'est pas l'unique service existant" rappelle Robert LaQuey. "Il y a plus d'une centaine de services d'URL raccourcies actuellement disponibles en ligne, et chacun de ces services peut être utilisé pour diffuser du code malicieux ou pour infecter l'ordinateur d'un internaute, ou pour voler des données... voire son identité". En ce qui concerne Twitter, le site a commencé en août dernier à utiliser l'API de Google's Safe, permettant d'avertir les utilisateurs en cas de détection d'un lien déjà recensé sur une liste noire.

Un regret cependant, tous ces services ne préservent pas encore des trolls de l'Internet...