Ouvrir le menu principal

MacGeneration

Recherche

Il est assez facile de faucher en douce des documents partagés par des liens Box Enterprise

Mickaël Bazoge

lundi 11 mars 2019 à 19:30 • 13

Ailleurs

Le service de stockage Box conserve les données de manière sécurisée bien sûr, mais dans un cas spécifique, des documents peuvent se retrouver à l’air libre. Les chercheurs d’Adversis se sont rendus compte qu’il était possible de récupérer les documents transmis par les liens partagés via les comptes Box Enterprise.

Comme chez Dropbox et d’autres services de stockage, Box permet aux utilisateurs de partager des fichiers depuis un simple lien. Le correspondant est alors en mesure de télécharger les documents partagés sans autre forme de procès. Seul problème, ces liens censés être secrets peuvent être découverts par des tiers.

Fouillons un peu dans le dossier Box de cette entreprise…

Les URL en question pointent vers des sous-domaines (sous la forme https://<nom_entreprise>.app.box.com/v/) Box spécifiques aux entreprises clientes. À l’aide d’un script pour scanner les comptes Box et d’un peu de jugeote, Adversis a pu mettre la main sur des dossiers partagés de plus de 90 entreprises, dont Apple.

Pour ce qui concerne la Pomme, les informations siphonnées des liens de partage Box se limitent à des logs et des listes de prix régionaux. Rien de trop grave donc, mais pour d’autres sociétés, les documents au su et au vu de tous sont plus sensibles.

C’est le cas de ce dossier de la chaîne de télé Discovery qui contient une base de données de milliers de noms et d’adresses mail d’abonnés. Ou encore ce projet confidentiel d’une société de relations publiques travaillant pour le réseau de transport de New York. Les chercheurs sont même tombés sur des dossiers provenant d’employés de Box.

Plutôt que de parler de faille de sécurité, le problème semble plutôt provenir d’un design mal fichu. Car les utilisateurs de Box peuvent personnaliser le niveau de confidentialité des liens partagés. Un porte-parole de Box indique que l’entreprise travaille à l’amélioration des réglages de son système de partage, en y ajoutant davantage de clarté. Des contrôles supplémentaires seront également proposés.

En attendant et pour prévenir de potentiels dégâts, mieux vaut limiter le partage aux personnes de l’entreprise, un réglage disponible dès à présent. Du côté d’Apple et d’autres sociétés touchées par le souci, on indique que les comptes Box ont été reconfigurés pour éviter ces découvertes inopinées.

Source : TechCrunch

Rejoignez le Club iGen

Soutenez le travail d'une rédaction indépendante.

Rejoignez la plus grande communauté Apple francophone !

S'abonner

Tesla présente le Robotaxi et promet son arrivée sur les routes américaines d’ici deux ou trois ans

10:20

• 25


Donald Trump veut interdire les voitures autonomes

10:09

• 23


Test d'un adaptateur microSD pour MacBook : pourquoi c’est un support de stockage à utiliser avec précaution

08:45

• 10


Orange lance son offre 5G+ Home

07:51


Asahi Linux lance des jeux AAA sur les Mac Apple Silicon, parfois mieux que macOS

10/10/2024 à 20:00

• 19


Global Police Summit : les conférences spécialisées d'Apple pour les forces de l'ordre

10/10/2024 à 18:30

• 5


Une faille dans CUPS, la technologie d'impression d'Apple, très dangereuse dans de nombreux UNIX… sauf ceux d'Apple

10/10/2024 à 16:15

• 21


Découvrez les détails de la connexion Wi-Fi de votre iPhone grâce à ce raccourci iOS

10/10/2024 à 15:00


Adobe prépare un outil gratuit pour améliorer la traçabilité des fichiers

10/10/2024 à 12:30

• 3


L’application X plante sur Mac

10/10/2024 à 11:19

• 26


Fibre Orange et Sosh : des débits plus rapides sans changement de prix

10/10/2024 à 09:54

• 96


Quel moteur de recherche utilisez-vous ?

10/10/2024 à 09:00

• 108


Microsoft Office à moins de 30 € pour Mac ou PC, c'est maintenant !📍

10/10/2024 à 08:55


Kernel Panic : l'Apple Watch Ultra est-elle encore dans la course ?

10/10/2024 à 08:00

• 26


Dernières heures de promos Amazon Prime : AirPods Pro 2, SSD, Magic Mouse…

09/10/2024 à 23:55

• 11


Dan Riccio, responsable de la branche Vision, prend sa retraite

09/10/2024 à 21:48

• 24