Dans la série faites ce que je dit, pas ce que je fais, bienvenu à AccessURL !

Ce service, qui repose sur un plugin Chrome (uniquement), propose de partager en toute sécurité votre accès à des sites web privés.
Exemples : Votre abonnement sur LeMonde.fr, l’extranet de votre fournisseur que tous vos collègues voudraient utiliser, Netflix ou autres services de streaming vidéo servis chauds.
Un site protégé, un service de partage gratuit, un tiers… Qu’est-ce qui pourrait mal de passer ?
En entreprise déjà c’est une faute, vous avez signé un règlement intérieur ou la charte informatique, et il est bien possible la nature même de votre métier fasse de vous un collaborateur informé, qui a le devoir de protéger les données et les accès. Donc au mieux ça passe inaperçu, l’IT vous fait passer un message bienveillant, ou un incident se produira et…
À titre personnel « je fait ce qui me plaît », et il est bien possible que vous ayez raison car le site que vous détournez commencera probablement par un avertissement de sécurité puis une suspension de compte (pour double connexion depuis plusieurs adresses IP publiques, pour activités suspectes) mais y réfléchira à ceux fois avant de vous résilier… La mauvaise presse (plaintes sur les réseaux sociaux pour incompréhension), le coût de recrutement de nouveaux clients, la concurrence : pas simple à gérer comme situation. De plus, vous n’avez pas à vous préoccuper d’Hadopi, ça ne les intéresse pas.
Car si le prêt de compte personnel est interdit dans les petites lignes du contrat, vous ne l’avez pas lu d’une part, et d’autre part AccessURL fait tout pour que cela ait l’air tout à fait naturel et facile à faire. Donc autorisé, donc légal en apparence, puisque aujourd’hui on s’en tient souvent aux apparences.
Les choses pourraient s’aggraver, si à la manière des forums de partage et téléchargement qui font payer à l’acte avec du micro-paiement, vous sous-louez l’accès à un abonnement ou à du contenu protégé.
Ceci dit, dans les conditions d’utilisation, AccessURL indique clairement collecter des informations personnelles, et se dégage de toute responsabilité en cas d’utilisation inappropriée de ce service, ou de violation de droits d’auteurs. De même qu’en cas de perte financière ou de fuite de données, y compris si le propriétaire d’AccessURL est prévenu d’un incident ou d’une procédure, vous n’êtes pas couvert.
Regardons AccessURL.com d’un peu plus près
D’après de simples informations publiques (aucun site web n’a été maltraité pendant la rédaction de cet article)…
- Le site est chez un hébergeur qui à plutôt bonne réputation : Digital Ocean, à San-Francisco visiblement.
« 11 DIGITAL-OCE.bar2.SanFrancisco1.Level3.net (4.14.106.166) 288.779 ms »
- Le service (ou du moins le frontal web) tourne sur un VPS, donc le trafic est capé à quelques To. Attention, « quelques To » ça fait déjà beaucoup de volume quand même, ça n’est pas ridicule, mais c’est une limitation et un choix économique.
- Pour un site qui met en avant un haut niveau de sécurité et de confidentialité, il aurait été préférable de masquer la version du serveur web, et le système d’exploitation. A moins bien sur que ces informations soient forgées pour induire en erreur.
- Et il serait utile d’affiner les configuration d’ngnix… car tel quel le site emploie un algorithme d’échange de clés permettant l’interception des communications (man in the middle) type Logjam. Plutôt gênant en environnement hostile, mais bon, vous êtres en train de donner volontairement vos codes d’accès à un correspondant, donc pourquoi pas votre voisin de hotspot wifi aussi ?
« This server supports weak Diffie-Hellman (DH) key exchange parameters. Grade capped to B. »
- Le certificat SSL du site est bien sur émis par Let’s Encrypt. Donc gratuit, et d’une durée de vie courte (renouvelé automatiquement par un automate). Ça n’est pas un problème en soit, mais ça donne une idée des moyens investis sur la sécurité.
- Les informations sur le propriétaire du domaine accessurl.com sont masquées, impossible donc d’entrer en contact « directement » avec le propriétaire en dehors de l’adresse email de support indiquée sur le site lui même.
Administrative Contact Information:
Name Contact Privacy Inc. Customer 124788088
Organization Contact Privacy Inc. Customer 124788088
Email seis1ecfm@contactprivacy.email
Tout ça n’est pas très rassurant, mais dans l’absolu il n’y a rien de bien extraordinaire ou absolument critique qui ressorte (à cette profondeur d’analyse).
Quelques questions à se poser
Comment AccessURL gagne-t-il sa vie ?
De la publicité ? à priori non.
- En revendant des informations personnelles ? peut-être.
- En revendant vos comptes privés ? ça serait suicidaire, mais pas impossible.
- Rien en attendant d’avoir atteint une masse critique, puis passage en mode « régie publicitaire » comme beaucoup de services gratuits ?
- Rien en attendant une proposition de rachat par un plus grand éditeur ? possible.
La réponse est importante, car elle conditionne la viabilité de ce service tout autant que sa confidentialité.
Comment ça marche ?
Voilà une tentative d’explication et de déduction, sans avoir fait de reverse engineering (à peine surveillé les flux), en sachant qu’AccessURL déclare se baser sur les cookies de session, et ne pas fonctionner en mode navigation incognito… cf. son site web.
On peut imaginer que quand vous êtes connecté à votre site privé, et que vous demandez la création d’un lien de partage au plugin, le cookie de session que vous avez (et qui est légitime) est chiffré et envoyé chez accessurl.com. Le chiffrement étant déclaré être de l’AES, c’est un algorithme symétrique donc une « clé » (mot de passe) seule permet à la fois de chiffrer et déchiffrer les données. Simple et efficace pour ce niveau de besoin de protection des données.
La clé de chiffrement est encodée dans l’URL généré pour le partage de l’accès, ainsi que l’identifiant du cookie chiffré à récupérer sur accessurl.com. Puisque AccessURL déclare ne pas avoir connaissance de la clé, ça doit vouloir dire qu’elle n’est pas envoyée sur leur serveur mais reste côté clients.
Comme c’est cet URL de partage que vous transmettez à votre correspondant (toujours côté client donc), son plugin Chrome AccessURL n’a plus qu’à intercepter cet URL télécharger le cookie chiffré, puis le déchiffrer en déduisant la clé de l’URL de partage, et ré-ouvrir une session authentifiée sur le site d’origine.
Donc le plugin doit être activé dès que le site que vous entrez dans la barre d’URL matche accessurl.com… D’après ceci je dirais que c’est Chrome qui se charge d’appeler le plugin, et pas le plugin qui traite tous les URLs que vous entrez et y recherche accessurl.com, à condition que ce soit bien implémenté par l’auteur. La différence tiens à la protection de votre vie privée, en évitant entre autres que ce plugin ne collecte tous les sites que vous visitez par exemple…
Les URLs partagés sont de cette forme :
https://accessurl.com/POrK#nq5dqb
https://accessurl.com/BMk6#io6mm7
https://accessurl.com/4WDZ#erveqy
Ce qui laisse à penser qu’ils sont formatés et découpés en deux sous chaines:
https://accessurl.com/ AAAA # BBBBBB avec AAAA un pointeur vers le cookie chiffré transmis via accessurl.com, et BBBBBB la clé de chiffrement.
4 et 6 caractères c’est très peu, le pointeur AAAA n’est donc peut-être pas direct (lookup, 2-3 tree), et la clé BBBBBB je crains qu’elle soit tout simplement « BBBBBB » sans artifice.
Note : un mot de passe sur 6 caractères, avec le jeu de caractères présent dans ces exemples, prends 56 millisecondes à deviner en brute-force aujourd’hui. Donc encore moins demain avec les gains en puissance de traitement.
Alors AccessURL.com : bien ou mal ?
C’est bien de constater qu’il y a toujours de la place pour l’innovation en matière de sécurité, et à voir la couverture médiatique accordée à AccessURL les internautes utilisateurs sont toujours friands de solution qui simplifient la vie, et simplifient la sécurité. Ce qui veut dire que les acteurs du web et de la cyber sécurité ont encore une bonne marge de progression, pour arriver à éradiquer le mot de passe comme moyen d’authentification, et passer à quelque chose de mieux. Le plus rapidement possible SVP…!
C’est bien aussi, car ça évite de donner par email, fichier word ou post-it ses identifiants et mots de passe à un correspondant (niveau zéro de l’échange sécurisé). Tout du moins dans un monde idéal qui ne prête pas de mauvaises intentions, ou d’implémentation fragile à AccessURL.
AccessURL est très probablement le fruit d’un one man show. Qu’il convient de saluer pour l’idée et l’implémentation car il y a un produit réel et qui fonctionne (actuellement à peu près bien, et l’intention de cet article n’est pas de descendre AccessURL).
Mais en même temps, c’est mal. Car d’après le peu d’information disponibles, on ne peut avoir aucune garantie sur la pérennité du service, sont évolution ou sa maintenance (disponibilité, sécurité opérationnelle etc), d’autant que le modèle de revenus est inconnu.
En réfléchissant aux pistes menant à des problèmes de sécurité ou des dérives d’utilisation des sites privés, j’aurai tendance à déconseiller d’utiliser AccessURL pour quoi que ce soit qui puisse vous mettre en difficulté financière ou juridique.
Il existe d’autre moyens de partager des comptes privés, notamment chez les gestionnaires de mots de passes, qui ne font pas l’économie des écarts aux conditions d’utilisation des sites privés, mais ont pignon sur rue et affichent un niveau de confiance bien supérieur…
WordPress:
J’aime chargement…