Les schémas URI

Lorsque j’ai créé mon fichier security.txt, je me suis demandé si il était possible de mentionner dans le champ « Contact » autre chose qu’une adresse de courriel. En effet, je laisse ouvert mes messages directs sur Twitter afin d’être contacté rapidement, cela est donc pratique.

J’aurai donc bien apprécié avoir la possibilité de mentionner sur la ligne contact de mon fichier l’information permettant de me contacter via Twitter. Intuitivement, cela aurait été précisé en mentionnant « twitter:@kerouanton« , ou encore « linkedin:kerouanton » mais malheureusement cela n’est pas possible.

En effet, ces schémas d’URI tels que http:, ssh: ou encore mailto:, sont normalisés auprès de l’IANA, qui en tient un registre actualisé.

Il est intéressant de constater que certains acteurs importants ont pu enregistrer leurs propres schémas de manière officielle. On retrouve par exemple steam: qui permet de lancer les jeux de ladite société, ou bien skype: pour lancer des appels audio et vidéo.

Des absents de marque qui seraient pourtant utiles, manquent à l’appel. J’aurai bien voulu avoir un linkedin: ou encore un twitter: pour pouvoir simplifier les contacts mais cela n’est manifestement pas à l’ordre du jour.

Je ne sais pas comment se font les inscriptions et quel sont les critères permettant de retenir tel ou tel schéma d’URI, mais force est de constater que certains préfixes officiels sont pour le moins étranges… En parcourant la liste, on trouve non seulement des vieilleries, mais surtout des choses vraiment amusantes :

prov/paparazzi: un outil pour prendre des captures d’écran sur mac. C’est plus le nom qui m’a amusé.

prov/bitcoin: J’ai bien ri en jetant un oeil à la description. Ce schéma sert à envoyer des bitcoin, rien que ça. Et pour les aspects encodage, intéropérabilité et sécurité, c’est précisé « Unknown, use with care », ainsi que « may not be suitable for open use on Internet ». A quoi bon, alors?!

Curieusement, une autre personne a déposé prov/bitcoincash: qui d’après la description semble rigoureusement identique… allez savoir! En tout cas, dès que l’on parcourt la liste, on y trouve pas mal de schémas d’URI qui servent à lancer des transactions financières. Ca peut ouvrir la voie à des hackers potentiels, mais je n’ai rien dit!

Chez Google, on sent l’hésitation. Un employé a ainsi déposé prov/cast: mais également prov/casts: qui sont rigoureusement identiques. On aurait pu penser que casts: est à https: ce que cast est à http:, mais manifestement même pas, ça sent l’erreur de débutant qui ne sait pas trop quel préfixe prendre. Corrigez-moi si je me trompe.

Certaines sociétés n’ont pas attendu pour enregistrer leurs propres schémas. Ainsi, on retrouve prov/com-eventbrite-attendee: ou encore prov/spotify: pour n’en nommer que deux, mais j’ai été surpris comme je le disais en préambule de ne pas voir beaucoup d’autres acteurs. Par exemple, aucun réseau social majeur ne semble présent, on ne retrouve dans ladite catégorie que prov/mastodon: qui n’est pas une entité commerciale.

La liste n’est pas si longue, celle-ci comportant au 28 juillet 2020, date de dernière modification seulement 332 entrées. Au nombre des sociétés, applications et protocoles présents sur la toile, c’est très peu. D’autant plus que si un acteur s’est empressé d’enregistrer à tire-larigot ses préfixes, c’est bien Microsoft. On trouve des schémas pour à peu près toute leur gamme de produits, je n’ai pas compté mais à vue de nez je dirai que 25% de la liste des préfixes officiels enregistrés provient de chez eux.

Un employé de Microsoft a même enregistré l’URI « prov/calculator: » Pour lancer le fameux calc.exe sous windows… Tiens tiens, ça me rappelle pas mal de PoC sécurité, ça! Je me demande bien à quoi il songeait quand il a fait cette demande auprès d’IANA. Si cela se trouve, il y a des exploits possibles grâce à cela.

J’espère que ce billet vous a intéressé. N’hésitez pas à commenter mes articles!
Sur ce, je m’en vais rejoindre ma partie de Bolo, ce très vieux jeu écrit en 1987, et pour lequel manifestement un schéma existe!

No Comments »

Bruno Kerouanton on août 12th 2020 in IT Security

Trackback URI | Comments RSS

Laisser un commentaire