Pour gérer vos consentements :
Categories: CloudSécurité

Box : des liens partagés pas si sécurisés

« Utiliser de façon sécurisée les liens partagés et les URL personnalisées » : ainsi s’intitule le dernier article posté – ce 11 mars 2019 – sur le blog de Box.

Cette publication fait écho à un avertissement émis le même jour sur un autre blog : celui d’Adversis.

La firme américaine spécialisée dans la sécurité informatique revient sur des travaux menés l’an dernier… et qui ont abouti à la découverte de « centaines de milliers de documents » en accès libre.

Ces documents (parmi lesquels figuraient des dossiers RH, des fichiers clients, des informations bancaires ou encore des configurations de systèmes informatiques) étaient hébergés sur Box.

Pour chacun d’entre eux, la fonction « liens partagés » était activée.

Adversis a employé la force brute pour obtenir les URL correspondantes. Sa tâche a été facilitée par le fait que ces adresses – composées par défaut de 32 caractères alphanumériques aléatoires – peuvent être personnalisées.

Chemin tracé

L’expérimentation s’est concentrée sur les sous-domaines dont disposent les organisations utilisatrices de l’offre Box Enterprise.

Un motif se retrouve dans les chemins d’accès aux fichiers et aux dossiers : https://<nom de la société>.app.box.com/v/<nom du fichier ou du dossier>. C’est par exemple le cas chez la banque SunTrust et le fabricant high-tech Olympus, que Box liste parmi ses références clients.

Le problème était pointé de longue date, comme en témoigne le tweet ci-dessous.

Utilisateurs, admins : que faire ?

Le 24 septembre 2018, Adversis avait communiqué ses observations à Box, qui avait réagi quelques jours plus tard en mettant à jour sa documentation.

Celle-ci vient d’être actualisée. D’une part pour fournir des conseils et de l’autre, pour annoncer des modifications.

Sur le premier point, Box recommande aux utilisateurs de bien régler les permissions d’accès des liens qu’ils partagent : à tout le monde ? seulement aux membres de l’entreprise ? uniquement aux collaborateurs qui ont les droits sur le dossier ?…

Il est rappelé aux administrateurs la possibilité de paramétrer une politique globale à l’échelle de leur organisation, d’imposer un mot de passe pour les liens partagés et de régler une date d’expiration.

Quant aux modifications, elles consistent en :

  • davantage d’informations pour les utilisateurs dans l’outil de paramétrage des liens ;
  • la désactivation, par défaut, au niveau administrateur, des URL personnalisées ;
  • par défaut également, un périmètre de partage restreint à l’organisation

Crédit photo : perspec_photo88 via VisualHunt / CC BY-SA

Recent Posts

PC Copilot+ : une porte d’entrée vers l’ IA locale ?

Equipés de NPU, les PC Copilot+ peuvent déployer des LLM en local. Un argument suffisant…

2 semaines ago

PCIe 5.0 : La révolution des cartes-mères est-elle en marche ?

Que vous soyez un novice dans le domaine informatique, ou avec un profil plus expérimenté,…

3 semaines ago

Cybersécurité : attention aux QR codes dans les PDF

Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…

2 mois ago

Windows 11 : une mise à jour majeure apporte de nouvelles fonctionnalités

Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…

3 mois ago

Microsoft 365 : comment Copilot se déploie dans toutes les applications

L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…

3 mois ago

PC Copilot + : Microsoft veut garder Recall

Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…

4 mois ago