KB N°2331: RÉSEAUX SOCIAUX ET RÉDUCTEURS D’URL
Olfeo intègre maintenant clairement les réducteurs d’URLs dans la catégorie «Réducteurs d’URLs». Le mécanisme de redirection de ces réducteurs n’a pas changé. La position d’Olfeo et les risques possibles et connus de ces liens sont donc toujours d’actualité. Qu’en est-il ensuite dans la réalité ?
CONTEXTE
Nous conseillons toujours de fermer ces réducteurs aux populations d’utilisateurs n’ayant pas besoin d’accéder aux sites de réseaux sociaux pour leur activité professionnelle. Les réducteurs d’URLs ont été créés pour ces plate-formes de micro-messaging où le nombre de caractères utilisés dans un post est limité. En France, nous parlerons essentiellement de sites comme Twitter, Facebook…
Il est évident aujourd’hui que tous les services et utilisateurs dont l’activité professionnelle est liée à la communication, au marketing et au relationnel ont besoin de travailler sur ces plate-formes.
Il est donc envisageable de leur ouvrir grâce à des listes d’URLs spécifiques certains réducteurs bien ciblés, tout en leur rappelant ce qu’est un réducteur, et donc l’importance à chaque fois qu’ils utilisent ce type de lien de bien regarder la destination du site internet dans la barre de navigation et pas uniquement le contenu de la page (phishing etc…).
Nous tenons toutefois à rappeler les danger potentiels des réducteurs d’URLs, d’ailleurs souvent utilisés dans les spam, et donc la raison de la présence de cette catégorie dans le thème « sécurité » :
- Création d’un système d’indirection. Un lien hypertexte classique implique un navigateur, un service de résolution de nom (DNS), le serveur DNS associé au site web qui publie le lien d’origine et le site web en lui-même. Avec un service de raccourcissement d’URL, un nouvel acteur agit comme un troisième résolveur de noms à la différence qu’il s’appuie souvent sur un script PHP et une base de données MySQL.
- Opacification de la destination du lien ouvrant ainsi la porte aux pratiques de spam. La destination finale n’est découverte qu’en cliquant sur le lien.
- Apparition d’un nouveau « Man in the middle » : le service de réduction d’URL peut décider qu’une URL viole les conditions d’utilisation et l’effacer. Il peut perdre sa base de données, oublier de renouveler son nom de domaine ou simplement disparaître. Pire, il peut être piraté et ses liens utilisés comme moyen d’attaques de type phishing.
Il faut donc bien choisir les réducteurs à ouvrir, ainsi que la population ciblée !
ÉTAPES
À ce jour, une règle d’exception pour ces utilisateurs sur bit.ly et tinyurl.com leur permettra d’accéder à la très grande majorité des liens présentés sur ces réseaux.
- Ajouter une règle dans les politiques de filtrage sur la webadmin. Insérer l’URL dans une regex ou dans une liste d’URLs, sous la forme :.*\:\/\/bit\.ly\/.*
NB : le .* permet d’intégrer des caractères avant et après l’expression écrite.
- Une fois cette regex enregistrée et placée en amont des autres politiques de filtrage avec une autorisation d’accès explicite, il n’y a plus qu’à valider.
RÉSOLUTION
Le micro-messaging des sites de réseaux sociaux utiles pour les différents services est débloqué tout en maîtrisant les réducteurs autorisés, les utilisateurs concernés, et les statistiques de suivi de l’utilisation de ces réducteurs.