Box : des liens partagés pas si sécurisés
Box tente d’impulser un usage plus sécurisé de sa fonction « liens partagés », après la découverte de données confidentielles laissées en accès libre.
« Utiliser de façon sécurisée les liens partagés et les URL personnalisées » : ainsi s’intitule le dernier article posté – ce 11 mars 2019 – sur le blog de Box.
Cette publication fait écho à un avertissement émis le même jour sur un autre blog : celui d’Adversis.
La firme américaine spécialisée dans la sécurité informatique revient sur des travaux menés l’an dernier… et qui ont abouti à la découverte de « centaines de milliers de documents » en accès libre.
Ces documents (parmi lesquels figuraient des dossiers RH, des fichiers clients, des informations bancaires ou encore des configurations de systèmes informatiques) étaient hébergés sur Box.
Pour chacun d’entre eux, la fonction « liens partagés » était activée.
Adversis a employé la force brute pour obtenir les URL correspondantes. Sa tâche a été facilitée par le fait que ces adresses – composées par défaut de 32 caractères alphanumériques aléatoires – peuvent être personnalisées.
Chemin tracé
L’expérimentation s’est concentrée sur les sous-domaines dont disposent les organisations utilisatrices de l’offre Box Enterprise.
Un motif se retrouve dans les chemins d’accès aux fichiers et aux dossiers : https://<nom de la société>.app.box.com/v/<nom du fichier ou du dossier>. C’est par exemple le cas chez la banque SunTrust et le fabricant high-tech Olympus, que Box liste parmi ses références clients.
Le problème était pointé de longue date, comme en témoigne le tweet ci-dessous.
If your company is using #Box with custom domain, try brute-forcing /v/path (https://t.co/RcF6wWtXSx). There could be a lot of confidential data exposed. #BugBounty #Security
— Nenad Zaric (@destructiones) 7 juin 2018
Utilisateurs, admins : que faire ?
Le 24 septembre 2018, Adversis avait communiqué ses observations à Box, qui avait réagi quelques jours plus tard en mettant à jour sa documentation.
Celle-ci vient d’être actualisée. D’une part pour fournir des conseils et de l’autre, pour annoncer des modifications.
Sur le premier point, Box recommande aux utilisateurs de bien régler les permissions d’accès des liens qu’ils partagent : à tout le monde ? seulement aux membres de l’entreprise ? uniquement aux collaborateurs qui ont les droits sur le dossier ?…
Il est rappelé aux administrateurs la possibilité de paramétrer une politique globale à l’échelle de leur organisation, d’imposer un mot de passe pour les liens partagés et de régler une date d’expiration.
Quant aux modifications, elles consistent en :
- davantage d’informations pour les utilisateurs dans l’outil de paramétrage des liens ;
- la désactivation, par défaut, au niveau administrateur, des URL personnalisées ;
- par défaut également, un périmètre de partage restreint à l’organisation
Crédit photo : perspec_photo88 via VisualHunt / CC BY-SA