Ouvrir le menu principal

MacGeneration

Recherche

Il est assez facile de faucher en douce des documents partagés par des liens Box Enterprise

Mickaël Bazoge

lundi 11 mars 2019 à 19:30 • 13

Ailleurs

Le service de stockage Box conserve les données de manière sécurisée bien sûr, mais dans un cas spécifique, des documents peuvent se retrouver à l’air libre. Les chercheurs d’Adversis se sont rendus compte qu’il était possible de récupérer les documents transmis par les liens partagés via les comptes Box Enterprise.

Comme chez Dropbox et d’autres services de stockage, Box permet aux utilisateurs de partager des fichiers depuis un simple lien. Le correspondant est alors en mesure de télécharger les documents partagés sans autre forme de procès. Seul problème, ces liens censés être secrets peuvent être découverts par des tiers.

Fouillons un peu dans le dossier Box de cette entreprise…

Les URL en question pointent vers des sous-domaines (sous la forme https://<nom_entreprise>.app.box.com/v/) Box spécifiques aux entreprises clientes. À l’aide d’un script pour scanner les comptes Box et d’un peu de jugeote, Adversis a pu mettre la main sur des dossiers partagés de plus de 90 entreprises, dont Apple.

Pour ce qui concerne la Pomme, les informations siphonnées des liens de partage Box se limitent à des logs et des listes de prix régionaux. Rien de trop grave donc, mais pour d’autres sociétés, les documents au su et au vu de tous sont plus sensibles.

C’est le cas de ce dossier de la chaîne de télé Discovery qui contient une base de données de milliers de noms et d’adresses mail d’abonnés. Ou encore ce projet confidentiel d’une société de relations publiques travaillant pour le réseau de transport de New York. Les chercheurs sont même tombés sur des dossiers provenant d’employés de Box.

Plutôt que de parler de faille de sécurité, le problème semble plutôt provenir d’un design mal fichu. Car les utilisateurs de Box peuvent personnaliser le niveau de confidentialité des liens partagés. Un porte-parole de Box indique que l’entreprise travaille à l’amélioration des réglages de son système de partage, en y ajoutant davantage de clarté. Des contrôles supplémentaires seront également proposés.

En attendant et pour prévenir de potentiels dégâts, mieux vaut limiter le partage aux personnes de l’entreprise, un réglage disponible dès à présent. Du côté d’Apple et d’autres sociétés touchées par le souci, on indique que les comptes Box ont été reconfigurés pour éviter ces découvertes inopinées.

Source :

Rejoignez le Club iGen

Soutenez le travail d'une rédaction indépendante.

Rejoignez la plus grande communauté Apple francophone !

S'abonner

Apple a envoyé aux développeurs les premières invitations pour la WWDC 2025

07:55

• 0


Tentant d’éviter les taxes, Sonos mise sur le mauvais cheval

03/04/2025 à 22:30

• 23


Racheter TikTok, un cadeau empoisonné ?

03/04/2025 à 21:20

• 5


Test d'une prison pour smartphone, pour ceux qui n'arrivent pas à abandonner leur iPhone

03/04/2025 à 20:30

• 6


Orange Téléphone donne maintenant le nom du spammeur qui vous appelle

03/04/2025 à 20:15

• 20


Tim Cook encaisse 24,19 millions de dollars d’actions restreintes

03/04/2025 à 20:00

• 18


La Switch 2 est déjà disponible en précommande chez certains revendeurs, avec des promos

03/04/2025 à 19:42

• 59


RED et SFR augmentent à leur tour les frais de résiliation de leurs box Internet

03/04/2025 à 18:15

• 4


Pages, Numbers et Keynote passent à Apple Intelligence

03/04/2025 à 17:45

• 17


L'Arcep observe une inflation des appels indésirables et abusifs chez les abonnés

03/04/2025 à 17:30

• 41


Guerre commerciale : le cours de l’action Apple en compote

03/04/2025 à 17:00

• 104


Promo Fnac : 100 € en cagnotte pour un MacBook Air M4 ou iPhone 16 Pro et 50 € pour les autres 🆕

03/04/2025 à 16:27

• 1


Les droits de douane décrétés par Donald Trump pourraient frapper Apple et ses clients tous azimuts

03/04/2025 à 15:35

• 54


Apple appelle Samsung à l’aide pour l’OLED de l’iPad mini

03/04/2025 à 14:45

• 12


Guerre commerciale : l’Union européenne prête à taxer Apple, Google et les services numériques américains

03/04/2025 à 14:00

• 162


Avec Thundermail, Mozilla veut répondre à Gmail, Proton Mail et les autres

03/04/2025 à 13:15

• 12