« Utiliser de façon sécurisée les liens partagés et les URL personnalisées » : ainsi s’intitule le dernier article posté – ce 11 mars 2019 – sur le blog de Box.
Cette publication fait écho à un avertissement émis le même jour sur un autre blog : celui d’Adversis.
La firme américaine spécialisée dans la sécurité informatique revient sur des travaux menés l’an dernier… et qui ont abouti à la découverte de « centaines de milliers de documents » en accès libre.
Ces documents (parmi lesquels figuraient des dossiers RH, des fichiers clients, des informations bancaires ou encore des configurations de systèmes informatiques) étaient hébergés sur Box.
Pour chacun d’entre eux, la fonction « liens partagés » était activée.
Adversis a employé la force brute pour obtenir les URL correspondantes. Sa tâche a été facilitée par le fait que ces adresses – composées par défaut de 32 caractères alphanumériques aléatoires – peuvent être personnalisées.
L’expérimentation s’est concentrée sur les sous-domaines dont disposent les organisations utilisatrices de l’offre Box Enterprise.
Un motif se retrouve dans les chemins d’accès aux fichiers et aux dossiers : https://<nom de la société>.app.box.com/v/<nom du fichier ou du dossier>. C’est par exemple le cas chez la banque SunTrust et le fabricant high-tech Olympus, que Box liste parmi ses références clients.
Le problème était pointé de longue date, comme en témoigne le tweet ci-dessous.
Le 24 septembre 2018, Adversis avait communiqué ses observations à Box, qui avait réagi quelques jours plus tard en mettant à jour sa documentation.
Celle-ci vient d’être actualisée. D’une part pour fournir des conseils et de l’autre, pour annoncer des modifications.
Sur le premier point, Box recommande aux utilisateurs de bien régler les permissions d’accès des liens qu’ils partagent : à tout le monde ? seulement aux membres de l’entreprise ? uniquement aux collaborateurs qui ont les droits sur le dossier ?…
Il est rappelé aux administrateurs la possibilité de paramétrer une politique globale à l’échelle de leur organisation, d’imposer un mot de passe pour les liens partagés et de régler une date d’expiration.
Quant aux modifications, elles consistent en :
Crédit photo : perspec_photo88 via VisualHunt / CC BY-SA
Les dernières migrations de Windows 10 vers Windows 11 vont accélérer l'adoption des PC IA. Mais des…
L’IA générative excelle dans plusieurs cas d’usage, notamment dans l’analyse, la recherche et la synthèse…
Trop tôt pour envisager d'acquérir un PC Copilot+ ? Les roadmaps d'Intel et d'AMD peuvent…
Dévoilés lors du CES 2025, les PC Copilot+ au format convertible restent encore limitée dans…
Les fonctionnalités de Gemini sont intégrées dans la suite bureautique Google Workspace. Conséquence : les…
Au CES 2025, les principaux constructeurs ont annoncé l'arrivée des ordinateurs de bureau dotés de…
![](data:image/svg+xml;charset=utf-8,<svg height="417px" width="722px" xmlns="http://www.w3.org/2000/svg" version="1.1"/>)
![](data:image/svg+xml;charset=utf-8,<svg height="413px" width="756px" xmlns="http://www.w3.org/2000/svg" version="1.1"/>)
