Les fichiers partagés via le service Box accessibles publiquement ?

box-net.jpg

La firme Adversis a annoncé avoir découvert une faille importante dans la façon dont Box, le célèbre service de stockage et de partage de fichiers en ligne, gère les liens générés pour partager un document :

Les entreprises qui utilisent Box Entreprise reçoivent leur propre sous-domaine, et les documents sauvegardés sur Box peuvent être partagés avec n’importe qui avec l’URL unique. Les utilisateurs peuvent aussi nommer le lien partagé comme ils le souhaitent. Malheureusement, le sous-domaine, l’URL et les noms de dossiers sont facilement découvrables en force brute.

Résultat, en utilisant des techniques de force brute classiques, Adversis est parvenu à accéder aux données de plus de quatre-vingt-dix entreprises, comme Apple, Amadeus ou encore Discovery.

Des données personnelles et des informations confidentielles en pleine nature

Parmi les documents révélés, qui étaient donc pour ainsi dire accessibles “en pleine nature”, on compte aussi bien des données personnelles que des informations confidentielles :

  • Des centaines de photos d’identité

  • Des numéros de sécurité sociale et de compte en banque

  • Des prototypes de technologie et de design

  • Des listes de salariés et de clients

  • Des données financières

  • Des comptes-rendus de réunions

  • Des informations techniques sur les réseaux des entreprises

Adversis détaille :

Initialement, nous comptions joindre toutes les entreprises affectées, mais nous avons rapidement réalisé que c’était impossible à cette échelle. (…) Nous avons alerté plusieurs entreprises dont des données hautement sensibles étaient touchées, avons contacté Box directement, et publié ce papier. (…)

Ceci n’est pas un bug ni une vulnérabilité chez Box, et a déjà été signalé par le passé.

Box précise la procédure de sécurisation des liens de partage

Si vous utilisez Box et avez déjà partagé un fichier en dehors de votre organisation, il y a donc de grandes chances que votre document soit affecté par ce défaut de sécurisation. C’est pourquoi Box a publié une procédure permettant de sécuriser les partages de fichiers en restreignant le partage aux utilisateurs faisant partie de l’entreprise.

Cette procédure est disponible ici.

Morale de l’histoire : même s’ils sont très pratiques — et souvent mieux sécurisés que le bon vieil e-mail —, les services de partage de fichiers en ligne sont loin d’être parfaits. Il convient donc, dans les petites comme les grandes organisations, d’encadrer intelligemment leur utilisation par les équipes en fonction de la sensibilité des informations stockées.

(Source : The Inquirer)