FLASH INFORMATIQUE FI



L’insécurité se cache dans les URL




Patrick SALADINO


URL [1], derrière cet acronyme anglo-saxon se cache le meilleur moyen pour localiser l’information sans transmettre son contenu. Vous les utilisez probablement tous les jours pour consulter la météo, partager vos photos de vacances ou encore dépanner un collègue en lui indiquant où trouver une solution à son problème.
Il faut toutefois garder à l’esprit que le partage (via un courriel, un blog, etc.) de certaines de ces URL peut avoir des conséquences fâcheuses, principalement en termes de divulgation d’informations privées ou d’usurpation d’identité. Prenons un exemple concret, mais fictif :
Mme X, secrétaire dans l’un des laboratoires de l’EPFL, consulte quotidiennement les forums de discussion (communément appelés news) via le web, à la recherche de logements pour y placer des professeurs en visite. Vu qu’il s’agit d’un forum interne à notre institution, elle a dû s’authentifier au préalable à l’aide de son compte GASPAR. Déçue de ne pas avoir trouvé son bonheur ce jour-là, elle décide de parcourir les petites annonces, publiées dans un autre groupe de discussion. Après quelques instants, elle tombe sur une magnifique paire de chaussures de ski, qui correspondent en tous points à ce que sa meilleure amie recherche.
Elle s’empresse donc de lui envoyer l’adresse (l’URL) de cet article par courriel : http://unsite.epfl.ch/news ?c...sid=355997563&th=1
Mme X ignore malheureusement qu’elle vient de donner accès à tous les forums de l’EPFL à son amie...
En effet, certains sites web se basent uniquement sur un paramètre (dans ce cas précis, le sid) présent dans l’URL pour identifier un visiteur et lui donner accès au contenu auquel il a droit. Le fait de partager cette information peut être très préjudiciable pour vous-même ou pour votre employeur. Imaginez simplement qu’il ne s’agisse plus de forums privés, mais d’autres prestations protégées, de fichiers sensibles, etc. Bien que la plupart des sites Internet ne souffrent pas de ce défaut, il vaut mieux user de prudence et éviter de transmettre les URL d’un site pour lequel vous avez dû vous authentifier.

[1] Uniform Resource Locator, par exemple : http://www.epfl.ch ou https://secure-it.epfl.ch



Cherchez ...

- dans tous les Flash informatique
(entre 1986 et 2001: seulement sur les titres et auteurs)
- par mot-clé

Avertissement

Cette page est un article d'une publication de l'EPFL.
Le contenu et certains liens ne sont peut-être plus d'actualité.

Responsabilité

Les articles n'engagent que leurs auteurs, sauf ceux qui concernent de façon évidente des prestations officielles (sous la responsabilité du DIT ou d'autres entités). Toute reproduction, même partielle, n'est autorisée qu'avec l'accord de la rédaction et des auteurs.


Archives sur clé USB

Le Flash informatique ne paraîtra plus. Le dernier numéro est daté de décembre 2013.

Taguage des articles

Depuis 2010, pour aider le lecteur, les articles sont taggués:
  •   tout public
    que vous soyiez utilisateur occasionnel du PC familial, ou bien simplement propriétaire d'un iPhone, lisez l'article marqué tout public, vous y apprendrez plein de choses qui vous permettront de mieux appréhender ces technologies qui envahissent votre quotidien
  •   public averti
    l'article parle de concepts techniques, mais à la portée de toute personne intéressée par les dessous des nouvelles technologies
  •   expert
    le sujet abordé n'intéresse que peu de lecteurs, mais ceux-là seront ravis d'approfondir un thème, d'en savoir plus sur un nouveau langage.