Pour gérer vos consentements :
Categories: CloudSécurité

Box : des liens partagés pas si sécurisés

« Utiliser de façon sécurisée les liens partagés et les URL personnalisées » : ainsi s’intitule le dernier article posté – ce 11 mars 2019 – sur le blog de Box.

Cette publication fait écho à un avertissement émis le même jour sur un autre blog : celui d’Adversis.

La firme américaine spécialisée dans la sécurité informatique revient sur des travaux menés l’an dernier… et qui ont abouti à la découverte de « centaines de milliers de documents » en accès libre.

Ces documents (parmi lesquels figuraient des dossiers RH, des fichiers clients, des informations bancaires ou encore des configurations de systèmes informatiques) étaient hébergés sur Box.

Pour chacun d’entre eux, la fonction « liens partagés » était activée.

Adversis a employé la force brute pour obtenir les URL correspondantes. Sa tâche a été facilitée par le fait que ces adresses – composées par défaut de 32 caractères alphanumériques aléatoires – peuvent être personnalisées.

Chemin tracé

L’expérimentation s’est concentrée sur les sous-domaines dont disposent les organisations utilisatrices de l’offre Box Enterprise.

Un motif se retrouve dans les chemins d’accès aux fichiers et aux dossiers : https://<nom de la société>.app.box.com/v/<nom du fichier ou du dossier>. C’est par exemple le cas chez la banque SunTrust et le fabricant high-tech Olympus, que Box liste parmi ses références clients.

Le problème était pointé de longue date, comme en témoigne le tweet ci-dessous.

Utilisateurs, admins : que faire ?

Le 24 septembre 2018, Adversis avait communiqué ses observations à Box, qui avait réagi quelques jours plus tard en mettant à jour sa documentation.

Celle-ci vient d’être actualisée. D’une part pour fournir des conseils et de l’autre, pour annoncer des modifications.

Sur le premier point, Box recommande aux utilisateurs de bien régler les permissions d’accès des liens qu’ils partagent : à tout le monde ? seulement aux membres de l’entreprise ? uniquement aux collaborateurs qui ont les droits sur le dossier ?…

Il est rappelé aux administrateurs la possibilité de paramétrer une politique globale à l’échelle de leur organisation, d’imposer un mot de passe pour les liens partagés et de régler une date d’expiration.

Quant aux modifications, elles consistent en :

  • davantage d’informations pour les utilisateurs dans l’outil de paramétrage des liens ;
  • la désactivation, par défaut, au niveau administrateur, des URL personnalisées ;
  • par défaut également, un périmètre de partage restreint à l’organisation

Crédit photo : perspec_photo88 via VisualHunt / CC BY-SA

Recent Posts

Low-code : comment choisir une plate-forme

L'approche low code (LCAP) prend de l'ampleur pour accompagner les projets de transformation numérIque. Pas…

1 jour ago

Salesforce et le MFA : comment ça marche ?

A compter du 1er février 2022, Salesforce déploie l'authentification multifacteur qui sera une nouvelle obligation…

6 jours ago

Microsoft Teams : du compte pro au compte perso

Microsoft généralise une première passerelle entre les comptes personnels et les comptes d'entreprise de Teams.…

6 jours ago

Android-Windows : Google veut aller plus loin

Google déploie son programme « Better together » à Windows pour accélérer la continuité avec…

1 semaine ago

Microsoft Pluton : ça change quoi pour la sécurité des PC ?

Expérimenté sur la console Xbox One, le sous-système de sécurité Pluton va se déployer sur…

2 semaines ago

Teams : comment fonctionne la fonction « chiffrement »

Microsoft vient d'officialiser la disponibilité générale du chiffrement sur Teams pour renforcer la sécurité des…

4 semaines ago